CPU Utilisé à 100% par un miner [résolu]

RBWW · par **RBWW** » 09 mai 2025 00:43

Bonsoir,

Depuis quelques jours mon processeur monte à 90°C sur le bureau.
Après quelques scans, j'ai trouvé un XMRig caché dans le disque C:\Windows mais impossible de le supprimer il revient à chaque redémarrage...

Les rapports FRST :

https://pjjoint.malekal.com/files.php?i ... 12o8n9v5g8
https://pjjoint.malekal.com/files.php?i ... t13b7w9i13
https://pjjoint.malekal.com/files.php?i ... 15n12t9c10

Un grand merci pour votre aide !

par **Parisien_entraide** » 09 mai 2025 08:05

Bonjour

Malekal ou Angélique donneront la procédure, mais il y a effectivement quelques lignes dans les rapports en lien avec une infection actuelle (.vbs)

En février on voit par ex que tu as utilisé un crack de jeu HackTool:Win32/crack (Harry potter) (Vu que tu as un qbitorrent et VPN je pense que ce ne doit pas être le seul jeu cracké)

Photo Studio 19 est en version crackée ?

Le truc c'est que XMRig est un logiciel légitime de minage de crypto-monnaies en source ouverte que les cybercriminels intègrent généralement dans leurs attaques via des programmes crackés
C'est légitime donc les AV sont entre 2 eaux ne sachant pas toujours si c'est l'utilisateur qui l'a installé ou pas

Par le passé tu as du utiliser hola.org
Tous les détails de ce pseudo VPN qui a été renommé en Bright VPN
viewtopic.php?p=529190#p529190

Sur l'actuel VPN Lifetime Free VPN :
C'est carrément à virer
Il a mauvaise réputation. Laisse fuiter les DNS, les serveurs ne sont pas réactualisés et .. est installé aux USA donc les Services US ont un droit de regard

A lire en attendant pour les risques sur les cracks
viewtopic.php?p=544690#p544690

Au passage attention avec les programmes de triche comme Cheat Engine , car MEME si utilisé en jeu solo, certains anti cheats n'aiment pas et tu peux te prendre un ban (Et en espérant que tu ne détiens qu'un programme de jeu pour du solo)

par **Malekal_morte** » 09 mai 2025 08:29

Salut,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {03474825-CA91-446D-9E48-59D84DF74E0A} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Pas de fichier)
Task: {23D3A66D-D3C5-4825-94E6-6FD7690E13E5} - System32\Tasks\SysCheck => C:\Windows\system32\wscript.exe [229376 2025-05-08] (Microsoft Windows -> Microsoft Corporation) -> C:\Windows\SystemHealth\Update\win32check.vbs
C:\Windows\SystemHealth
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

Réparer Mozilla Firefox (premier paragraphe)
Réparer Google Chrome (premier paragraphe)
Comment réparer ou réinitialiser Microsoft Edge

4) Désinstalle HitmanPro.
ESET + MBAM c'est déjà assez lourd comme cela.

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

RBWW · par **RBWW** » 09 mai 2025 15:13

Parisien_entraide a écrit : ↑09 mai 2025 08:05 Bonjour

Malekal ou Angélique donneront la procédure, mais il y a effectivement quelques lignes dans les rapports en lien avec une infection actuelle (.vbs)

En février on voit par ex que tu as utilisé un crack de jeu HackTool:Win32/crack (Harry potter) (Vu que tu as un qbitorrent et VPN je pense que ce ne doit pas être le seul jeu cracké)

Photo Studio 19 est en version crackée ?

Le truc c'est que XMRig est un logiciel légitime de minage de crypto-monnaies en source ouverte que les cybercriminels intègrent généralement dans leurs attaques via des programmes crackés
C'est légitime donc les AV sont entre 2 eaux ne sachant pas toujours si c'est l'utilisateur qui l'a installé ou pas

Par le passé tu as du utiliser hola.org
Tous les détails de ce pseudo VPN qui a été renommé en Bright VPN
viewtopic.php?p=529190#p529190

Sur l'actuel VPN Lifetime Free VPN :
C'est carrément à virer
Il a mauvaise réputation. Laisse fuiter les DNS, les serveurs ne sont pas réactualisés et .. est installé aux USA donc les Services US ont un droit de regard

A lire en attendant pour les risques sur les cracks
viewtopic.php?p=544690#p544690

Au passage attention avec les programmes de triche comme Cheat Engine , car MEME si utilisé en jeu solo, certains anti cheats n'aiment pas et tu peux te prendre un ban (Et en espérant que tu ne détiens qu'un programme de jeu pour du solo)

Merci de ta réponse !
Pour Photo Studio c'était une version d'essai de mémoire donc provenance officielle, effectivement j'ai quelques jeux dont Harry Potter qui proviennent de site d'Abandonware.

Dans mes applications il n'y a aucunes traces d'un quelconque VPN, j'ai du les supprimer il y a quelques temps.

C'est noté pour Cheat Engine

RBWW · par **RBWW** » 09 mai 2025 15:34

Merci de la réponse !

Après correction voici le rapport Fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09-05-2025
Exécuté par origi (09-05-2025 15:18:35) Run:2
Exécuté depuis C:\Users\origi\Desktop
Profils chargés: origi
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {03474825-CA91-446D-9E48-59D84DF74E0A} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Pas de fichier)
Task: {23D3A66D-D3C5-4825-94E6-6FD7690E13E5} - System32\Tasks\SysCheck => C:\Windows\system32\wscript.exe [229376 2025-05-08] (Microsoft Windows -> Microsoft Corporation) -> C:\Windows\SystemHealth\Update\win32check.vbs
C:\Windows\SystemHealth
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore => supprimé(es) avec succès
Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{03474825-CA91-446D-9E48-59D84DF74E0A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03474825-CA91-446D-9E48-59D84DF74E0A}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\CCleaner Update => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCleaner Update" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{23D3A66D-D3C5-4825-94E6-6FD7690E13E5}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{23D3A66D-D3C5-4825-94E6-6FD7690E13E5}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\SysCheck => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SysCheck" => supprimé(es) avec succès

"C:\Windows\SystemHealth" Dossier déplacer:

C:\Windows\SystemHealth => déplacé(es) avec succès

========= reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

L'op‚ration a r‚ussi.

========= Fin de Reg: =========

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès

========= Fin de RemoveProxy: =========

Le système a dû redémarrer.

==== Fin de Fixlog 15:19:02 ====

Les 3 rapports FRST de la nouvelle analyse :

https://pjjoint.malekal.com/files.php?r ... 8c7o9t14g6
https://pjjoint.malekal.com/files.php?i ... v13h6u6i15
https://pjjoint.malekal.com/files.php?i ... i10d9f9f86

Merci pour l'aide !

par **Malekal_morte** » 09 mai 2025 16:58

Il y a du mieux pour l'utilisation CPU ?
Si elle est encore à 100%, indique le processus en cause.

RBWW · par **RBWW** » 09 mai 2025 18:45

Malekal_morte a écrit : ↑09 mai 2025 16:58 Il y a du mieux pour l'utilisation CPU ?
Si elle est encore à 100%, indique le processus en cause.

Ça a l'air d'avoir fonctionné, le processus reste vers les 40°C sur le bureau et le dossier incriminer a disparu dans le disque C.

Je vérifierai les jours suivants pour voir s'il ne revient pas.

par **Malekal_morte** » 10 mai 2025 20:00

ok reviens, si tu as à nouveau le problème =)

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com

Malekal.com forum

CPU Utilisé à 100% par un miner [résolu]

CPU Utilisé à 100% par un miner [résolu]

Re: CPU Utilisé à 100% par un miner

Re: CPU Utilisé à 100% par un miner

Re: CPU Utilisé à 100% par un miner

Re: CPU Utilisé à 100% par un miner

Re: CPU Utilisé à 100% par un miner

Re: CPU Utilisé à 100% par un miner

Re: CPU Utilisé à 100% par un miner [résolu]