Virus qui surchauffe le processeur ?Résolu/Fermé

Question

Bonjour, 

Le ventilo de mon PC a commencé depuis hier à tourner très vite en permanence même si aucun programme n'est en exécution. Et quand j'ouvre le gestionnaire des tâches (ou System Explorer) le ventilo revient à son fonctionnement normal. Je n'arrive donc pas à déceler le processus qui bouffe les ressources système car je soupçonne un virus.

Je surveille la température avec SpeedFan et dès que je ferme le gestionnaire des tâches, l'utilisation du CPU affiche 100% et la température augmente de plus de 20°C !!! 

Quelqu'un aurait-il une idée de quoi il s'agit?
Merci d'avance pour l'aide.

PS: J'ai Microsoft Security Essentials comme antivirus.

Configuration: HP Pavilion DV6.
Windows 7 Home Premium.

halimbhl · Accepted Answer

J'ai réussi à neutraliser ce qui semble être le "Trojan Generic KDV 792778" comme expliqué ici (en anglais) :
https://answers.microsoft.com/en-us/windows/forum/windows_7-security/igfxupdateexe-forces-cpu-to-load-100/5936cbd2-a758-4a27-946f-0bac401d56f3

En gros, il s'agit d'un programme malveillant qui se fait passer pour un service Windows "Search Indexer" et crée le fichier "igfxupdate.exe" qui se cache dès qu'on ouvre le gestionnaire des tâches (malin, non?!!).
La solution est de désactiver le service "Search Indexer", supprimer le fichier "igfxupdate.exe" (dans le dossier windows\system32 ou windows\SysWOW64 pour windows 64 bits), redémarrer et supprimer définitivement le service avec la commande "sc delete SearchIndexer".

Merci à hurgh de Microsoft Community..

halimbhl · Answer

Allez les gars... un coup de pouce SVP! :'(

pierre-b10 · Answer

Bonjour, j'ai le même souci mais je n'arrive pas a trouver "igfxupdate.exe" pour le supprimer !!!! 

Au secours :'(((

buckhulk · Answer

bonjour,
on peut avoir un ZHPDiag ?
 
ATTENTION : Si ton Antivirus est Avast, désactive la sandbox sinon l'analyse risque d'être faussées. 
Voici comment faire : ICI
ne pas oublier de la réactiver en fin de désinfection

1) * Télécharge ZHPDiag (de Nicolas coolman) sur ton bureau !!

>> ZHPDiag (de Nicolas coolman)

a) * Une fois le téléchargement achevé, 
b) * double clique sur ZHPDiag.exe et suis les instructions.
c)* L'outil va créer 3 icônes de racourcis :  ZHPDiag >> ZHPFix >>MBRcheck

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

2) * Fais un clic droit sur le logo de ZHPDiag.exe,en forme de parchemin qui se trouve sur ton bureau « exécuter en tant qu'Administrateur 

3) * Clique sur Options >> 
a] * Clique sur Tous 

4) * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 

* Important >> Pendant l analyse de ton PC par ZHPDIag ne touche à plus rien !!!!!

5) * Le rapport s'affiche sur ton Bureau une fois terminé !

les rapports étant trop long, les héberger :

Rappel des dépôts  

1 cijoint
2 pjoint
3 up2share
4 FEC

pierre-b10 · Answer

Merci de votre implication ! je vous fait sa tout de suite

pierre-b10 · Answer

Voila j'ai effectué les manipulation et voila le rapport :

https://www.cjoint.com/?0LCldzNUgij

buckhulk · Answer

he be !!! que d'infections.....: Regarde ICI on va commencer par : AdwCleaner : Logiciel très simple d'utilisation 1 - Téléchargez AdwCleaner et lance son exécution. >>>ICI<<< 2 - L'interface du programme va s'ouvrir. Cliques sur le bouton Recherche afin de lancer la détection, celle-ci ne prendra que quelques secondes, patientes. Le rapport est automatiquement enregistré à la racine de votre disque dur principal, en général C: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 3 - Avant de faire la suppression poste le rapport au cas ou il y ai des faux positifs ! 4 - Fermes le rapport puis cliques sur le bouton Suppression 5 - Dès la suppression effective, le logiciel demande de redémarrer l'ordinateur, cliques sur Ok.

pierre-b10 · Answer

j'ai fait tout mais pas d'amélioration ! :(

buckhulk · Answer

j'ai pas "vu" les rapports !!

pierre-b10 · Answer

recherche : https://www.cjoint.com/?0LClVUNcOkF

Suppression : https://www.cjoint.com/?0LClWtqXaEH

buckhulk · Answer

ok maintenant tu passes Mbam :
 - 1 Télécharge MalwareByte's ICI
- 2 Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
- 3 Une fois l'installation et la mise à jour effectuées :

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- 4 Afin de lancer la recherche, clic sur"Rechercher".
- 5 Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. 
- a Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
- b Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". 
- 6 Enregistre le rapport sur ton Bureau.(pour me l'envoyer après ton redémarrage)
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

 Redémarres ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

cela ne peut pas finir aussi vite !!
j'ai fait tout mais pas d'amélioration ! :( Tu avais trop d'infections donc >> c'est long !!!

pierre-b10 · Answer

D'accord je fais sa ! mais je laisse le gestionnaire de tache ouvert pour pas que le processeur monte a 100% ou je le fais sans le gestionnaire de tache ?

buckhulk · Answer

sans tu le ferme cela ne sert à rien de le laisser en marche !
qu'as-tu comme services qui consomment beaucoup ?

pierre-b10 · Answer

je ne peux pas voir car des que je lance le gestionnaire de tache le processeur redeviens normal !!!

buckhulk · Answer

non c'est pas ça dans le gestionnaire des taches il y a service et processus , quel sont les processus qui consomment le plus !
j'attend le rapport de Mbam !

pierre-b10 · Answer

svchost.exe 201 000

buckhulk · Answer

c'est tout ?
regarde ICI 
  
On ne connait la valeur d'une chose , que lorsqu'on l'a perdue !! 
Les questions montrent l'étendue de l'esprit , les réponses , sa finesse  
il n'y a pas d'âge pour arrêter d'apprendre

pierre-b10 · Answer

c'est celui ci le plus apres c'est mbam 146852, explorer 39520

pierre-b10 · Answer

Voila le rapport de Mbam :

https://www.cjoint.com/?0LCmSjXhmlq

pierre-b10 · Answer

Voila le nouveau rapport ZHP : 

https://www.cjoint.com/?0LCnsHsj1U1

buckhulk · Answer

Script
Ce script va cibler certains éléments à supprimer :

* Copie les lignes suivantes :


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
O4 - HKLM\..\Run: [InstantUpdate] . (...) -- C:\Program Files\Acer\Acer Instant Service\InstantUpdate\iuDaemon.exe 
OPT:O4 - HKLM\..\Wow6432Node\Run: [LManager] . (.Dritek System Inc. - Launch Manager.) -- C:\Program Files (x86)\Launch Manager\LManager.exe 
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Microsoft Antimalware Scheduled Scan] (...) -- c:\Program Files\Microsoft Security Client\MpCmdRun.exe (.not file.)
O42 - Logiciel: BitTorrent - (.BitTorrent Inc..) [HKLM][64Bits] -- BitTorrent
O42 - Logiciel: FATE - (.WildTangent.) [HKLM][64Bits] -- WTA-3e4f2f56-3325-411e-92bc-0fdc0b35ab85
O42 - Logiciel: John Deere Drive Green - (.WildTangent.) [HKLM][64Bits] -- WTA-67d8be8e-d5d9-45c6-a33f-ac054e65dc72
O42 - Logiciel: Polar Bowler - (.WildTangent.) [HKLM][64Bits] -- WTA-45c076a1-a32e-4ff3-b8db-a2f9727d6128
O42 - Logiciel: Slingo Deluxe - (.WildTangent.) [HKLM][64Bits] -- WTA-abb76df8-64dd-4ed6-a0a7-b679beb8db2d
[HKCU\Software\BitTorrent]
O43 - CFD: 24/11/2012 - 22:01:01 - [5,796] ----D C:\Program Files (x86)\BitTorrent
O43 - CFD: 27/12/2012 - 16:50:54 - [36,432] ----D C:\Program Files (x86)\Spybot - Search & Destroy 2
O43 - CFD: 25/03/2012 - 19:42:54 - [8,604] ----D C:\Program Files (x86)\WildTangent Games
O43 - CFD: 25/04/2012 - 23:08:18 - [0,500] ----D C:\Program Files (x86)\Windows Defender
O43 - CFD: 27/12/2012 - 16:44:58 - [0,232] ----D C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 27/12/2012 - 16:51:03 - [0,501] ----D C:\Users\pibi\AppData\Roaming\BitTorrent
O43 - CFD: 27/12/2012 - 16:06:02 - [0] ----D C:\Users\pibi\AppData\Local\Programs
O51 - MPSK:{0f0cb90b-3633-11e2-9948-dc0ea1a5fc6e}\AutoRun\command. (...) -- F:\SETUP.exe (.not file.)
O55 - MWPS:[HKLM\...\Policies\System] - "EnableLUA"=0
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "PromptOnSecureDesktop"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
O87 - FAEL: "{66377B11-75D6-4730-8AC2-2D17341C8BE1}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - BitTorrent.) -- C:\Program Files (x86)\BitTorrent\BitTorrent.exe
O87 - FAEL: "{FF0546A0-BB58-4245-A506-2F91E2C03653}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - BitTorrent.) -- C:\Program Files (x86)\BitTorrent\BitTorrent.exe
O87 - FAEL: "TCP Query User{4D0068BE-3206-4C18-A52B-116D02C1291A}H:\left 4 dead 2.0.0.6\left4dead2.exe" |In - Private - P6 - TRUE | .(...) -- H:\left 4 dead 2.0.0.6\left4dead2.exe (.not file.)
O87 - FAEL: "UDP Query User{FFE6E483-375A-4678-9D5C-86EB313463A2}H:\left 4 dead 2.0.0.6\left4dead2.exe" |In - Private - P17 - TRUE | .(...) -- H:\left 4 dead 2.0.0.6\left4dead2.exe (.not file.)
O87 - FAEL: "TCP Query User{9392F5D5-ABD9-4C13-9641-BA2EA4905B8E}C:\program files (x86)\activision\call of duty black ops ii	6sp.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\activision\call of duty black ops ii	6sp.exe (.not file.)
O87 - FAEL: "TCP Query User{73E3EC61-0B2E-46CC-83BA-4FB3319328AC}C:\program files (x86)\activision\call of duty black ops ii	6sp.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\activision\call of duty black ops ii	6sp.exe (.not file.)
O87 - FAEL: "UDP Query User{E6674B11-ADFD-41C7-8903-17C22BFC2C54}C:\program files (x86)\activision\call of duty black ops ii	6sp.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\activision\call of duty black ops ii	6sp.exe (.not file.)
O87 - FAEL: "TCP Query User{995A6DEB-DB07-440E-A034-D4BB9E9CD813}C:\windows\kmsemulator.exe" |In - Public - P6 - TRUE | .(...) -- C:\windows\kmsemulator.exe (.not file.)
O87 - FAEL: "UDP Query User{AECA1E5D-BD15-4035-863E-4EE7293EFF3B}C:\windows\kmsemulator.exe" |In - Public - P17 - TRUE | .(...) -- C:\windows\kmsemulator.exe (.not file.)
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld]   =>Toolbar.Conduit
O90 - PUC: "6207E55EA2FE71A4AA7ABD89AEF31D1B" . (.Babylon Chrome Toolbar.) -- C:\Windows\Installer\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}\BabylonSetup.ico
SS - | Demand 12/10/2010 206072 |  (GamesAppService) . (.WildTangent, Inc..) - C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe
EmptyTemp 
EmptyFlash 
EmptyCLSID 
FirewallRAZ 



* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
* Clique sur le bouton « GO » pour lancer le nettoyage.
* Copie/colle la totalité du rapport dans ta prochaine réponse. 

j'attend le rapport !
après tu me dis comment se comporte ton pc ?

pierre-b10 · Answer

Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-12-2012-15-26-44.txt
Run by pibi at 28/12/2012 15:26:44
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)



========== Logiciel(s) ==========
SUPPRIME BitTorrent
SUPPRIME FATE
SUPPRIME John Deere Drive Green
SUPPRIME Polar Bowler
SUPPRIME Slingo Deluxe

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\BitTorrent
SUPPRIME CLSID MPSK: {0f0cb90b-3633-11e2-9948-dc0ea1a5fc6e}
SUPPRIME Key: HKLM\Software\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld
SUPPRIME Key: \Software\Classes\Installer\Products\6207E55EA2FE71A4AA7ABD89AEF31D1B
SUPPRIME Key: \Software\Classes\Installer\Features\6207E55EA2FE71A4AA7ABD89AEF31D1B
SUPPRIME Key: Service: GamesAppService

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: InstantUpdate
SUPPRIME RunValue: LManager
SUPPRIME MWPS Value: EnableLUA
SUPPRIME MWPS Value: EnableUIADesktopToggle
SUPPRIME MWPS Value: PromptOnSecureDesktop
SUPPRIME MWPS Value: FilterAdministratorToken
SUPPRIME MWPE Value: NoActiveDesktop
SUPPRIME MWPE Value: NoActiveDesktopChanges
ABSENT {66377B11-75D6-4730-8AC2-2D17341C8BE1}

halimbhl · Answer

Bonjour,
Désolé pour le retard. Juste un truc qui me vient à l'esprit: avez-vous activé l'affichage des fichiers cachés et décoché la case "Masquer les fichiers protégés du système d'exploitation" ? c'est probablement pour ça que vous n'arrivez pas à trouver le fichier à supprimer.
Je pense qu'il s'agit bel et bien d'une infection car les symptômes correspondent exactement au cas que j'ai rencontré.
Au passage, merci à buckhulk ça méthode est certainement moins aléatoire que la mienne :)
Tenez-nous au courant
à bientôt

halimbhl · Answer

Je vous suggère de surveiller le processus avec un autre logiciel (j'ai utilisé "Glary Utilities") pour débusquer le processus. Pour cela, il faudrait trier les processus en ordre décroissant de l'utilisation du processeur (dans Glary) et voir la différence en ouvrant puis en fermant le gestionnaire des tâches de windows.
Pour ma part, il s'agissait du processus "svchost.exe", l'avantage avec Glary c'est qu'il montre (en bas de la fenêtre) le fichier qui utilise ce processus (igfxupdate.exe dans mon cas).
C'est ce qui m'a permis de trouver cette piste.
Tenez-nous au courant et je réponds dès que possible.

Virus qui surchauffe le processeur ?

24 réponses

Discussions similaires

Newsletters