coin miner caché - Virus/Spywares - Windows & Software
Marsh Posté le 04-07-2023 à 18:13:15
Salut,
Le port RDP exposé directement est très souvent la cible d'attaques... ce qui t'arrive ne me surprend malheureusement pas. Ton windows est bien à jour ?
Tu as bien fait de couper le NAT car sinon tu aurais eu encore plus de problèmes.
Vu l'ampleur du truc, je ne saurais trop te conseiller de sauvegarder tes données et réinstaller windows... Et vérifier que celles-ci n'ont pas été infectées. Et surtout, ne reconnecte pas ton PC au net tant que tu n'es pas sûr que tout est clean sinon ça va recommencer. Et si tu as plusieurs PC sur ton réseau ou un NAS, passe leur aussi un coup de malwarebytes + defender
Si tu tiens absolument à avoir du RDP, tu peux le faire, mais en accédant à ton réseau par un VPN, ou via un tunnel SSH par clés (éviter le MDP si possible ou alors assez complexe)
Marsh Posté le 04-07-2023 à 19:09:55
Oui, Windows est à jour.
J'ai lancé des analyses Malwarebytes et Windows Defender sur mon PC, et une analayse antivirus sur le NAS (QNAP, avec l'antivirus intégré). RAS pour l'instant.
Quand vous dites "l'ampleur du truc", vous entendez quoi exactement ? A quoi vous voyez que c'est "grave" ? Pour moi c'était juste du minage en sous marin, qui n'a pas recommencé depuis que Malwarebytes bloque les sites malveillants.
Mais j'ai eu d'autres blocages sur le port 443. En fait je ne comprends pas : dès qu'on ouvre un port on se fait infecter ?... Ca fait des années que j'ai quelques ports d'ouverts et je n'avais jamais eu de problème, le parefeu est sensé me protéger de ça, non ?
PS : par exemple, la dernière détection c'est ça :
Domaine : S/O
Fichier : xxxxxxxxx\chrome.exe
catégorie : programme malveillant
port : 443
adresse IP : 44.84.205.507
type : connexion sortante
Donc : comment Chrome peut-il être malveillant ?...
Marsh Posté le 04-07-2023 à 21:57:20
Vu le nombre de sites web contactés c'est pas vraiment anodin. Sans compter l'utilisation de svchost.exe, qui veut dire que le malware l'utilise à son avantage et a donc probablement infecté le registre.
Pour chrome, ça l'utilise sans doute pour afficher des pubs. Ce n'est pas chrome en lui-même (du moins je pense), mais la connexion au site. Ce qui veut dire aussi que tout n'est pas réglé, même si malwarebytes a éradiqué une partie, y'a toujours des connexions bizarres.
Réinstaller est la solution la plus sûre. Après si tu veux tout désinfecter à la main, tu peux aller demander sur le forum malekal, certains sont bien plus compétents que moi sur le sujet : https://forum.malekal.com/viewforum.php?f=3
Citation : En fait je ne comprends pas : dès qu'on ouvre un port on se fait infecter ?... Ca fait des années que j'ai quelques ports d'ouverts et je n'avais jamais eu de problème, le parefeu est sensé me protéger de ça, non ? |
Non on ne se fait pas infecter dès qu'on ouvre un port, mais ça peut arriver à n'importe quel moment si le service qui tourne derrière est vulnérable. Et donc, non, le pare-feu ne peut pas protéger de ça, c'est pas un antivirus. Et defender ne peut pas non plus connaître toutes les menaces surtout si elles sont récentes.
Marsh Posté le 04-07-2023 à 23:40:06
Ah, bon je vais voir ça alors.
Mais j'ai encore des questions :
- réinitialiser Windows "depuis" Windows, ou via une clé USB, c'est équivalent ? (Cad : au je absolument besoin de créer un support d'installation ?)
- je sauvegarde tout sur des DD internes, externes, et un NAS. Je fais quoi de ces sauvegardes ? Elles sont compromises ? Si oui, ça va être compliqué !
- mes licences Windows et Office deviennent quoi ?
Merci !
Marsh Posté le 05-07-2023 à 00:12:47
alboon2000 a écrit : - réinitialiser Windows "depuis" Windows, ou via une clé USB, c'est équivalent ? (Cad : au je absolument besoin de créer un support d'installation ?) |
Pas besoin de créer une clé d'install si tu fais la réinitialisation autonome. Par contre, vu que ça utilise forcément les fichiers présents sur le disque (winsxs), il y a un risque pour que le virus s'y soit implanté et donc que tu restaures l'infection. Je te conseille fortement de faire une vraie réinstall à partir de l'iso officielle
alboon2000 a écrit : - je sauvegarde tout sur des DD internes, externes, et un NAS. Je fais quoi de ces sauvegardes ? Elles sont compromises ? Si oui, ça va être compliqué ! |
Le mieux dans ce cas est une fois que tu as réinstallé, connecter au net une première fois pour récupérer les definitions (sans connecter les HDD de sauvegardes), puis déconnexion et enfin scan des HDD. Ou mieux utiliser un autre PC si tu peux voir un windows "live usb" sans connecter le disque système.
alboon2000 a écrit : - mes licences Windows et Office deviennent quoi ? |
Aucun soucis à te faire : ta licence windows est liée à ton matos, elle se réactivera toute seule. Pour Office il faudra juste retaper la clé je suppose.
Marsh Posté le 05-07-2023 à 10:23:12
renaud072 a écrit : Sans compter l'utilisation de svchost.exe, qui veut dire que le malware l'utilise à son avantage et a donc probablement infecté le registre. |
Relis bien : ce n’est pas « svchost.exe » mais deux autres fichiers avec des noms approchants, justement pour induire en erreur et faire croire que ce sont des processus légitimes.
Du reste, ils sont localisés dans « C:\Windows », alors que le vrai « svchost.exe » est dans « C:\Windows\System32 ».
Marsh Posté le 05-07-2023 à 10:25:52
la question c'est comment ces merdes sont apparues.
Formater, si c'est pour refaire la meme connerie et avoir le meme probleme dans 15 jours, ca n'avance pas a grand chose.
Marsh Posté le 05-07-2023 à 11:54:51
Effectivement oui ça m'intéresse de savoir comment c'est arrivé, car je n'ai pas changé mes habitudes depuis 20 ans... Et ce que détecte MBAM je ne sais pas si ce sont des attaques "classiques" ou si elles sont rendues possibles a cause de ce qui traine dans mon DD.
Marsh Posté le 05-07-2023 à 12:06:34
alboon2000 a écrit : Ça m'intéresse de savoir comment c'est arrivé, car je n'ai pas changé mes habitudes depuis 20 ans... |
… qui sont (notamment pour ce qui est de te procurer des logiciels)… ?
Marsh Posté le 05-07-2023 à 12:46:32
alboon2000 a écrit : Bonjour, |
Ça alors, mais d'où peuvent venir tous ces ennuis. Quel mystère.
Marsh Posté le 05-07-2023 à 12:51:17
Windows officiel (MAJ successives depuis Windows 7), clé a 0,73€ pour Office. Oui, ça m'est arrivé de récupérer des jeux sur Y##, mais pas depuis plusieurs mois !
Marsh Posté le 05-07-2023 à 13:41:16
Trit' a écrit :
Du reste, ils sont localisés dans « C:\Windows », alors que le vrai « svchost.exe » est dans « C:\Windows\System32 ». |
En effet je me suis fait eu Le pire c'est que certains virus se servent bien de svchost de manière détourée.
Mais, ça ne change rien au problème de base...
Marsh Posté le 05-07-2023 à 13:41:42
nebulios a écrit : |
Réponse facile et complètement inutile.
Marsh Posté le 05-07-2023 à 14:14:03
alboon2000 a écrit :
Réponse facile et complètement inutile. |
Torrent, jeux piratés... Tu t'étonnes d'où vient le problème ?
Marsh Posté le 05-07-2023 à 14:54:46
ReplyMarsh Posté le 05-07-2023 à 15:03:31
c'est assez nul comme reponse.
un coin miner machin truc, tu ne chopes pas ca n'importe ou hein.
ca vient tres certainement de tes jeux pirates ou de torrent. Point barre.
A partir de la, soit tu te braques comme un ado et tu continues a faire n'importe quoi, soit tu changes de comportement et tu n'auras plus de merdes.
Marsh Posté le 05-07-2023 à 19:31:47
Bon ça suffit maintenant : j'ai piraté aucun jeu depuis 2018, alors lâchez moi.
Marsh Posté le 06-07-2023 à 10:30:53
Merci, c'est noté.
Et concernant leroimerlinbis, il faudrait qu'un modérateur fasse qch car c'est très désagréable de se faire prendre pour un gamin, et d'entendre des idioties péremptoires de la part de qq1 qui visiblement ne regarde pas plus loin que son front.
Marsh Posté le 06-07-2023 à 11:52:30
alboon2000 a écrit : Merci, c'est noté. |
J'ai dis quoi de désagréable ?
Simplement que ton problème vient très certainement de Torrent ou de tes jeux piratés.
Comme nebulios.
Marsh Posté le 06-07-2023 à 12:16:19
Bon, si vous n'en savez rien, ça ne sert à rien de sortir des "très certainement", des "tes jeux piratés"... Vous me sortez ça depuis 3 messages sans avoir la moindre idée de ce qu'il y a sur mon PC, donc maintenant, abstenez-vous de participer à ce thread, et laissez-moi tranquille. Je n'ai pas besoin d'être materné, merci bien. Et je n'ai pas envie qu'on m'écrive de manière condescendante comme vous le faites. Je demande des conseils sur le base de faits présentés. Ce n'est pas la simple présence de uTorrent qui infecte tous les PC qui l'ont. Sur ce, je ne prendrai plus la peine de vous répondre (utilisateur signalé à la modération).
Marsh Posté le 06-07-2023 à 12:27:45
alboon2000 a écrit : Bon, si vous n'en savez rien, ça ne sert à rien de sortir des "très certainement", des "tes jeux piratés"... Vous me sortez ça depuis 3 messages sans avoir la moindre idée de ce qu'il y a sur mon PC, donc maintenant, abstenez-vous de participer à ce thread, et laissez-moi tranquille. Je n'ai pas besoin d'être materné, merci bien. Et je n'ai pas envie qu'on m'écrive de manière condescendante comme vous le faites. Je demande des conseils sur le base de faits présentés. Ce n'est pas la simple présence de uTorrent qui infecte tous les PC qui l'ont. Sur ce, je ne prendrai plus la peine de vous répondre (utilisateur signalé à la modération). |
Oh, misère, les gens qui se vexent à mort du simple fait qu’on leur dit qu’il y a un truc qu’ils ne font pas bien… JPP, j’ai déjà ma mère qui est comme ça, je me passerai d’en avoir d’autres ici !
Du reste, je doute que ton signalement aboutisse à une sanction contre Merlin, car il n’a rien dit ni fait quoi que ce soit qui enfreigne les règles. En revanche, tu pourrais être sanctionné, toi, pour signalement abusif et on ne signale pas juste parce qu’on n’est pas d’accord avec quelqu’un.
Et pour le vrai sujet du fil : si, ce que tu peux prendre en Torrent (au passage, il est interdit de parler de Torrents et logiciels de P2P du type µTorrent, eMule, etc.) peut être infecté. Alors, ne viens pas dire « vous n’en savez rien », car on ne compte en réalité plus le nombre de cas où si, c’était ça la raison.
Marsh Posté le 06-07-2023 à 13:41:12
Trit' a écrit : |
Format et apprend à avoir une bonne hygiène informatique et tout se passera bien
Marsh Posté le 06-07-2023 à 13:43:03
Trit' a écrit : Du reste, je doute que ton signalement aboutisse à une sanction contre Merlin, car il n’a rien dit ni fait quoi que ce soit qui enfreigne les règles. En revanche, tu pourrais être sanctionné, toi, pour signalement abusif et on ne signale pas juste parce qu’on n’est pas d’accord avec quelqu’un. Et pour le vrai sujet du fil : si, ce que tu peux prendre en Torrent (au passage, il est interdit de parler de Torrents et logiciels de P2P du type µTorrent, eMule, etc.) peut être infecté. Alors, ne viens pas dire « vous n’en savez rien », car on ne compte en réalité plus le nombre de cas où si, c’était ça la raison. |
Merci
Marsh Posté le 06-07-2023 à 14:55:55
On ne peut pas dire qu'un antivirus est lourd, l'impact sur le système est négligeable.
Tout le monde utilise un antivirus, j'imagine que tu n'as pas désactivé Windows defender?
Marsh Posté le 07-07-2023 à 16:08:31
Windows defender est très efficace mais ça n'a pas toujours été le cas. Il y a 3 ou ans, il était à la ramasse et plusieurs antivirus tiers étaient meilleurs.
Par contre Windows defender a toujours bourré de faux positifs, c'est pour cette raison que j'utilise nod32 depuis plusieurs années.
Marsh Posté le 16-07-2023 à 12:40:51
Bonjour alboon2000 j'espère que tu vas bien, tu n'imagines pas comme je suis heureux (malheureusement) de voir quelqu'un d'autres avec l'exact problème que le mien, ça fait des mois que je cherche une solution à mon problème... J'ai aussi le svshost.exe qui viens bouffer 50% de mon GPU, j'ai reformaté 3 fois en l'espace de 4 mois, j'ai cru que c'était le 12VHPWR de ma 4080 qui était en cause, j'ai acheté un câble Cablemod à 50€ pour au final toujours avoir le même soucis, grâce à Hwinfo ou Afterburner j'ai pu voir mon GPU à 100% d'utilisation pour je ne sais quelle raison, en ouvrant le gestionnaire de tâche tout revenez à la normale, obligé de l'ouvrir à chaque boot de windows...
Je suis aussi un peu con parce que je n'ai pas de suite pensé à un malware ou une merde du genre, comment à tu fais pour régler ton souci s'il te plait ? Moi aussi j'ai installé Malwarebyte ainsi que Bitedefender, j'étais avant ça sur windows defender mais en réalité il n'est pas très efficace, ou alors si mais couplé avec un logiciel anti malware si on a l'habitude d'aller sur des sites "pas très reconnu"
Marsh Posté le 16-07-2023 à 20:57:23
Venrad a écrit : Bonjour alboon2000 |
Bonjour,
ca a été résolu ici :
https://forum.malekal.com/viewtopic.php?t=72884
Marsh Posté le 04-07-2023 à 17:31:40
Bonjour,
=== Désolé pour l'intégration des images, c'est un peu sale ===
Je me suis aperçu, en monitorant la température de mon GPU, que celui-ci était sollicité "sans raison".
Windows Defender n'a rien trouvé.
J'ai installé Malwarebytes et il m'a trouvé ceci :
- C:\windows\link.zip (riskware.CoinMiner)
- C:\windows\svshost.exe (generic malware/suspicious)
- C:\windows\svhost.exe (backdoor.bot)
(Plus quelques éléments de uTorrent, mais ce n'est pas ça car je l'utilise depuis des années)
Une fois ceci mis en quarantaine, la température est redescendue.
Sauf que...
C'est revenu le lendemain !
J'ai regardé dans les tâches et je n'ai rien vu de suspect, mais je n'y connais pas grand chose là dedans (à part un éventuel "ViGEmBusUpdater1" ?)
J'ai donc laissé tourner Malwarebytes en fond et ça m'a bloqué quelques trucs (cf pièce jointe) : essentiellement des "sites web" via le port 3389.
https://ibb.co/xg7CCss
J'ai donc désactivé ce port dans le NAT du routeur, mais du coup, plus de RDP possible.
Ceci dit : est-ce qu'un port ouvert est suffisant pour m'installer des fichiers indésirables comme ceux trouvés ? Pourquoi Windows Defender ne bloque pas ces tentatives (cf les réglages en pj) ?
https://ibb.co/SstFt9z
Je n'ai rien changé à mes habitudes et je n'avais jamais eu de tels soucis...
Merci !
Message édité par alboon2000 le 04-07-2023 à 17:51:52