Fuite de mémoire étrange sous Chrome Résolu/Fermé

Question

Bonjour, 

Avec mon navigateur Chrome, j'ai observé en ouvrant le gestionnaire de tache, qu'il consommait 60% du CPU, mais dès que j'ouvre le gestionnaire de tache la consommation revient à la normale.

Un scan Malwarebytes n'a rien donné.

Configuration: Windows 7 / Chrome 25.0.1364.152

g3n-h@ckm@n · Accepted Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.archive-host.com (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

salut tu peux etre plus clair ?

j'ai observé en ouvrant le gestionnaire de tache, qu'il consommait 60% du CPU, mais dès que j'ouvre le gestionnaire de tache la consommation revient à la normale.

durifon · Answer

Et bien, disons que je remarque que le ventilateur de mon ordinateur s'emballait, mais dès que j'ouvre le gestionnaire de tâches, il revient à la normale.

J'avais remarqué que Chrome utilisait le processeur à 60% pendant la seconde où le gestionnaire de tâche était lancé, puis il revenait à la normale, de même que les ventilos.

Cependant, après l'avoir fermé et relancé, ce n'est plus le cas, mais le problème des ventilos qui s'emballent et qui se règle à l'ouverture du gestionnaire de tâche subsiste...

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

durifon · Answer

# AdwCleaner v2.114 - Rapport créé le 09/03/2013 à 20:18:55
# Mis à jour le 05/03/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Durifon - DURIFON-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Durifon\Downloads\AdwCleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKCU\Software\Softonic
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v19.0 (fr)

Fichier : C:\Users\Durifon\AppData\Roaming\Mozilla\Firefox\Profiles\len0nx18.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v25.0.1364.152

Fichier : C:\Users\Durifon\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1226 octets] - [09/03/2013 20:14:10]
AdwCleaner[R2].txt - [1157 octets] - [09/03/2013 20:18:55]

########## EOF - C:\AdwCleaner[R2].txt - [1217 octets] ##########

durifon · Answer

Voilà

Merci de votre attention:

https://www.cjoint.com/c/CCjxx3eNcMF

g3n-h@ckm@n · Answer

re

relance l'outil , clique sur diag , heberge le rapport pre_diag puis donne le lien

durifon · Answer

Voilà
https://www.cjoint.com/c/CCkjvELjhlk

Merci encore de votre aide

g3n-h@ckm@n · Answer

re

selectionne ce texte , puis CTRL + C

Kill::

Key::
[HKU\S-1-5-21-3607854509-1289507297-3649070387-1001\Software\Softonic]     
[HKU\S-1-5-21-3607854509-1289507297-3649070387-1001\Software\{B2CB09FF-2453-4f85-9F40-21C05BE4CBA8}]     

File|Fold::
C:\eula.*.txt 
C:\874b6a3cfaf1531ddc8302c5a0fdf8da      
C:\Users\Durifon\Desktop\The Dark*  
C:\Users\Durifon\Downloads\*crack*
C:\ProgramData\Spybot - Search & Destroy     

Clean::

MBR::

Reboot::       
 
 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

durifon · Answer

J'ai bien fait la manip' comme demandée, mais il y avait déjà un fichier pre_script.txt vierge sur le bureau, ce qui semble avoir empêché la création d'un nouveau log :/

En tous cas, pendant qu'il travaillait, il a été indiqué Windows MBR 2008 detected

g3n-h@ckm@n · Answer

ok regarde dans c:\ ?

durifon · Answer

Idem, fichier vierge. :/

durifon · Answer

Au cas où: Log combofix:
	https://www.cjoint.com/c/CCknkja4rk8
Log hijackthis:
https://www.cjoint.com/c/CCknk1pSI2p

g3n-h@ckm@n · Answer

tu prends l initiative d'utiliser des outils dangereux à utiliser seul ( en l'occurence , Combofix) 

il est inutile de demander de l aide si tu fais n'importe quoi

durifon · Answer

Désolé, je ne savais pas que ce logiciel était dangereux dans sa fonction de détection.

Je me tiendrais à vos instructions désormais :/

g3n-h@ckm@n · Answer

bon refais un diag

durifon · Answer

Voilà

https://www.cjoint.com/c/CCkvuK4ODrK  

Merci de votre patience.

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

durifon · Answer

Voilà

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.10.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Durifon :: DURIFON-PC [administrateur]

10/03/2013 23:27:37
mbam-log-2013-03-10 (23-27-37).txt

Type d'examen: Examen personnalisé (C:\Users\Durifon\Desktop\Jeux\Battlefield Bad Company 2|C:\Users\Durifon\Desktop\Jeux\The Witcher 2|)
Options d'examen activées: Système de fichiers | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: Mémoire | Démarrage | Registre | Heuristique/Extra | P2P
Elément(s) analysé(s): 3503
Temps écoulé: 3 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Durifon\Desktop\Jeux\The Witcher 2\bin\paul.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.

(fin)

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.10.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Durifon :: DURIFON-PC [administrateur]

10/03/2013 21:49:17
mbam-log-2013-03-10 (21-49-17).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 572384
Temps écoulé: 1 heure(s), 31 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Users\Durifon\Desktop\Jeux\The Witcher 2\bin\paul.dll (PUP.RiskwareTool.CK) -> Aucune action effectuée.
C:\Program Files (x86)\Activision\Call of Duty Black Ops II\buddha.dll (Malware.Gen.SKR) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Durifon\Desktop\Jeux\Battlefield Bad Company 2\rld-bbc2.exe (RiskWare.Tool.HCK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Durifon\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Durifon\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

(deux rapports car un des fichiers était décoché par défaut, j'ai refait l'analyse du dossier le contenant pour le supprimer avec malwarebytes)


Merci :)

g3n-h@ckm@n · Answer

ok des soucis persistent ?

durifon · Answer

Oui, toujours la même chose. Ventilo qui tourne, le gestionnaire de tâches qui m'indique l'utilisation du proc à 80% dans la fraction de seconde qui suit son ouverture, et juste après, les ventilos se remettent à la normale et le proc aussi...
J'avais ces fichiers depuis un bout de temps et ils n'avaient pas posé problème jusque là, ça ne venait p-e pas de là.

g3n-h@ckm@n · Answer

desinstalle reinstalle chrome voir...

durifon · Answer

Aucune amélioration notable.

Msmpeng.exe a un comportement suspect, il consomme 15% du proc quand je viens d'ouvrir le gestionnaire de tâches et il revient à 0 dans les secondes qui suivent.

g3n-h@ckm@n · Answer

desactive windows defender

durifon · Answer

C'est fait, aucun résultat, j'ai du me tromper là dessus.

g3n-h@ckm@n · Answer

on va creuser plus loin

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

durifon · Answer

Voilà. 

http://cjoint.com/?CClaQ1sPyCH 
https://www.cjoint.com/c/CClaRvJXhpG 

Avec en prime la capture d'écran du gestionnaire de tâche dans la fraction de seconde qui suit son ouverture au cas où:

https://www.cjoint.com/c/CClaxMSyTsW

Merci de votre aide

durifon · Answer

Bon, je sais au moins, à l'aide de l'outil d'analyse pjjoint de malekal, que j'ai ce fichier infecté sur mon ordi :
https://www.virustotal.com/gui/file/7c558047df7337a545abc1fabb6d845447f5608d3eaddbe9a61077e1a028a020

g3n-h@ckm@n · Answer

tu peux donner l'emplacement exact de ce fichier ?

durifon · Answer

C:\Windows\SysWow64\igfxupdate.exe

durifon · Answer

J'ai un autre problème, je ne sais pas si c'est lié, mais depuis peu, alienrespawn plante au démarrage de l'ordinateur (mais on peut le lancer sans problèmes après cela)

durifon · Answer

Problème résolu. 

Voilà ce que j'ai fait:

1/ Open the Task Manager (and let if open)
2/ Go in C:\Windows\System32 and delete "igfxupdate.exe" if it is here
3/ Go in C:\Windows\SysWOW64 and check if "igfxupdate.exe" is also here, if yes delete it
4/ Open the windows services management console 
Start > Execute > services.msc or Start > type "services.msc" in the search bar (Windows 7)
5/ Look for "Search Indexer" -> Right click -> Properties and change the "Automatic" into "Disabled"
6/ Reboot 
7/ Open the Windows CMD as an Administrator
Start > type "cmd" in the search bar (Windows 7) -> Right click -> Run as an Administrator
8-> Type "sc delete SearchIndexer" then hit Enter

Coriace.


En tout cas merci pour ton aide!

g3n-h@ckm@n · Answer

génial t'as eu droit à un decapage ^^

faut finir avec ce menage :)

https://gen-hackman.kanak.fr/

durifon · Answer

Très étrange, après avoir fait ce qui est indiqué, une partition de 38,9 Mo libre sur 39,0 Mo est apparue sur mon DD...

Et mon processeur continue à se comporter étrangement même si ça n'est pas du tout à la même échelle.

Log Purera:
http://cjoint.com/?CCltcxGuvuv 

Log Delfix: 
http://cjoint.com/?CCltdcu8EfQ

log slowin killer
http://cjoint.com/?CCluhNjqyVn

g3n-h@ckm@n · Answer

rapport slowin killer pas complet

durifon · Answer

Voilà les deux trois autres rapports: 

http://pjjoint.malekal.com/files.php?id=20130312_k5z12b12r9f6

g3n-h@ckm@n · Answer

vu

Fuite de mémoire étrange sous Chrome

37 réponses

Discussions similaires