Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

CPU 100% - Malware qui détecte HJT ?


Krater

Messages recommandés

Bonjour,

 

Un truc pas banal : Mon CPU se bloque à 100% et lorsque je lance le gestionnaire de tâche ... il retombe à 0% et je ne peux donc pas voir le processus qui utilise à ce point le CPU.

 

Même chose quand je lance HijackThis.exe soit 0%, mais quand je renomme ce dernier en scan.exe je reste à 100%.

Je me dis bêtement : je vais trouver le coupable dans le log de scan.exe ... hé ben non ! ils sont identiques.

 

PC x64, Windows 7, mon antivirus est Kaspersky 2013, j'ai essayé Malwarebytes, ZHPDiag ..... rien trouvé.

 

Pour l'instant, je garde ouvert le gestionnaire de tâche .. :chpas:

 

Si quelqu'un a une idée ..

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

En gros, il s'agit d'un programme malveillant qui se fait passer pour un service Windows "Search Indexer" et crée le fichier "igfxupdate.exe"

La solution est de désactiver le service "Search Indexer",

 

Copiez collez dans le bloc notes.

Enregistrez sous Serv.bat, sur le bureau.

Double clic pour lancer.

@echo Suppression du Service

sc stop "Search Indexer"

sc delete "Search Indexer"

cd c:\

cd windows

cd system32

del /f /s /q C:\WINDOWS\System32\igfxupdate.exe

 

ou si sous OS 64 bits:

cd SysWOW64

del /f /s /q C:\WINDOWS\SysWOW64\igfxupdate.exe

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

 

je me permets de remonter ce sujet car j'ai eu le même problème, que j'ai réglé avec votre méthode. merci beaucoup.

Toutefois, le malware semble être revenu au démarrage suivant, et j'ai du relancer le fichier bat de nettoyage (j'ai peur qu'il ne fasse qu'éteindre le feu, sans éliminer le pyromane, car le problème revient à chaque redémarrage).

 

Une analyse Avast ne me donne rien, malheureusement... Auriez-vous du nouveau à ce sujet, j'aimerais éviter une réinstallation de Windows... Peut être une surveillance du répertoire pour détecter qui réinstalle ce fichier ?

 

Merci par avance !

Modifié par gotchock
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Une solution est de désactiver le service "Search Indexer" ou searchindexer

Modifiez en conséquence

 

 

Lancez cet outil de diagnostic:

Zhpdiag 1.31

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

zhp0710.png

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

120403104704343592.jpg

 

Cliquez sur le bouton 12040309492645704.jpg en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton 120403100123645840.jpg en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

j'ai désactivé le service. Le virus ne se manifeste plus au redémarrage. Toutefois, le service "Search Indexer" reste présent (impossible de le supprimer). Si je le réactive, le virus se manifeste de nouveau par la réapparition du fichier igfxupdate.exe et une forte charge sur le processeur.

 

Voici le log demandé: http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130107_j14r6q9v15k11

Modifié par gotchock
Lien vers le commentaire
Partager sur d’autres sites

j'ai désactivé le service. Le virus ne se manifeste plus au redémarrage.

 

C'est très bien ainsi.

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

zhpfix16.png

 

[HKLM\Software\Appupdater] => Infection PUP (PUP.Dealio)

[MD5.3911B972B55FEA0478476B2E777B29FA] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.21/04/2011 - 14:58:27.) -- C:\Windows\system32\Drivers\AFD.sys [273408]

P2 - FPN: [HKCU] [@tools.google.com/Google Update;version=3] - (...) -- C:\Users\ollivier\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (.not file.) => Fichier absent

P2 - FPN: [HKCU] [@tools.google.com/Google Update;version=9] - (...) -- C:\Users\ollivier\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (.not file.) => Fichier absent

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => Google Update Task

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => Google Update Task

[MD5.8F0DE4FEF8201E306F9938B0905AC96A] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe

[MD5.8F0DE4FEF8201E306F9938B0905AC96A] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe

[HKCU\Software\YahooPartnerToolbar] => Toolbar.Yahoo

O69 - SBI: prefs.js [ollivier - hnq1ic9o.default] user_pref("weboftrust.search.ask.display", "Ask.com Web Search"); => Toolbar.Ask

[HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

[HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

O53 - SMSR:HKLM\...\startupreg\SSBkgdUpdate [Key] . (.Nuance Communications, Inc. - SSBkgdUpdate.) -- C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

j'ai bien suivi votre démarche et redémarré mon ordinateur.

Toutefois, dès la connexion à ma session, je suis tombé directement sur un BSOD m'indiquant une erreur avec aswnet.sys, qui est un fichier lié à Avast. En effet, Avast a encore des problèmes de compatibilité sous Windows 8 (mon OS), et j'avais du patcher (bien avant mon problème de virus, ce n'est pas lié) ce fichier suivant une procédure sur leurs forums, qui fonctionnait bien. Je pense que votre manipulation a réinitialisé ce fichier. Si ce n'est pas le cas, elle a du déclencher une nouvelle erreur.

 

J'ai choisi de désinstaller temporairement Avast le temps de finir de nettoyer.

 

Grave erreur: j'ai perdu l'accès à internet (pourtant j'ai tenté des restaurations du système, réinstallation du driver, etc), puis j'ai enchaîné de nombreux BSOD (erreurs différentes à chaque fois), jusqu'à ne plus pouvoir démarrer autrement qu'en mode sans échec (l'internet ne fonctionnant pas même avec la prise en charge réseau), ce en moins d'une heure.

 

Ma patience a des limites, j'ai donc opté pour un nettoyage par le vide: formatage puis réinstallation de Windows.

 

Il va sans dire que le malware sur lequel nous étions fait désormais partie du passé, je ne vais pas vous embêter plus longtemps avec celui-ci.

 

 

Toutefois, connaissez vous son éventuelle provenance, et les risques qu'il a fait courir à ma machine (vol de données privées, attaques à distance ?) ?

 

Je vous remercie du temps que vous avez bien voulu m'accorder.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...