SearchIndexer.exe - Trojan:Bitcoin - Fichier qui se recrée

Résolu/Fermé
Zlopeck Messages postés 16 Date d'inscription mercredi 5 novembre 2008 Statut Membre Dernière intervention 14 décembre 2017 - 18 nov. 2013 à 13:56
 lapinter - 25 déc. 2013 à 22:45
Bonjour,
Je suis sous Windows 8 et comme beaucoup, j'ai un problème de SearchIndexer.exe qui est gourmand en ressources processeur. Suivant les conseils donnés sur le forum je l'ai désactivé dans les services, j'ai décoché l'autorisation d'indexation des fichiers de mes disques, j'ai redémarré mon PC et là... un coup d'oeil au gestionnaire de tâches pour constater que SearchIndexer.exe était encore entrain de bouffer 95% des ressources processeur. Donc vérification dans les services (local) et surprise, bien qu'il soit en train de fonctionner, SearchIndexer.exe est désactivé. Retour dans le gestionnaire de tâches, clic droit sur , "ouvrir l'emplacement du fichier" et je me retrouve dans C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater où effectivement un fichier SearchIndexer.exe se trouve. J'ai essayé de le renommer, de le déplacer ou de le supprimer, dès que je redémarre mon PC un fichier SearchIndexer.exe est recrée et utilise entre 95 et 100% des ressources processeurs.
Je ne pense pas que cela ait quelque chose à voir mais mon PC est en réseau avec un autre (sous XP) sur lequel je stock mes dossiers mais qui n'a pas ce genre de problème. De plus, même si je me déconnecte d'internet, donc du réseau, SearchIndexer.exe se comporte toujours de la même façon.
Si l'un d'entre vous a été confronté à ce mystère ou a une solution à apporter, je suis preneur.
Merci d'avance.


A voir également:

27 réponses

Zlopeck Messages postés 16 Date d'inscription mercredi 5 novembre 2008 Statut Membre Dernière intervention 14 décembre 2017 2
24 nov. 2013 à 17:24
Cette fois je crois que ça y est.
A force de chercher et de vérifier les fichiers (particulièrement les .exe j'ai remarqué que dans le dossier C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater, les fichiers étaient tous modifiés ou remis à jour au moment du redémarrage de Windows à l'exception de deux fichiers .bin en rapport avec ma carte GeForce et d'un fichier nommé updater.exe
Je l'ai donc scanné sur virustotal et il est reconnu comme nuisible par 16 /47 mais pas par Malwarebytes et visiblement pas par Windows Defender non plus, ce qui explique que même avec une recherche complète il n'était pas découvert. Si un jour je me retrouve encore dans cette situation, mon premier réflexe sera de lancer une recherche avec au moins deux antimalwares différents.
Je te mets le lien vers le scan :
https://www.virustotal.com/gui/file/a316f09f45bf38b650670eee254467bf695bdf12c23e3af76b423eeee545cad8
Quoi qu'il en soit je tenais à te remercier pour l'aide que tu m'as apportée pour sortir de cette galère.
Il reste une petite chose, il semble qu'il y ait une "procédure" pour supprimer les outils de désinfection, alors pourrais tu me l'indiquer. Encore merci pour ton aide et ta patience.

Comment met on le sujet comme résolu?
1
Suite à tout ça j'ai remplacé Windows Defender par Avast et j'ai lancé un scan minutieux. Il en est ressorti un fichier nommé API.class (lui aussi dans le dossier C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater) et dont le ratio de détection est de 2/46. Il semble lié à Java mais comme je ne l'ai pas sur mon PC, ni dans mon navigateur, c'est bon de ce coté là. Je l'ai néanmoins supprimé.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
24 nov. 2013 à 22:36
tu as possibilité de sortir tous ces éléments de la quarantaine et de faire un zip et de l'envoyer sur http://upload.malekal.com ?

Je vais envoyer cela aux antivirus, ça améliora les détections.
0
Purée, merci Zlopeck !!!
Ca fait des heures que je cherche une solution, et aucun logiciel ne convient !! Le programme gratuit rkill permet de fermer le processus svchost.exe *32 , mais ça je pouvais aussi le faire à la main !

Pour un "tuto" :
*************
Sous win8 (cas de Zlopeck) ou win7 (mon cas), le processus svchost.exe *32 prend 100% du coeur 1 de mon CPU
Ce programme est dans :
C:\Users\<nom d'utilisateur>\AppData\Roaming\Microsoft\SystemCertificates\My\Updater
(pour le savoir, faire bouton droit sur ce processus puis "ouvrir l'emplacement du fichier")
En le supprimant, il réapparait au reboot.
Dans ce même dossier, effacer les programmes updater.exe, PUIS svchost.exe (je ne sais plus si ça doit se faire en mode sans échec ou non).

Ca règle aussi chez moi les processus searchindex.exe et searchindex[1].exe qui sont détectés comme malware (par rkill je crois) étant donné que ce sont des clones du faux svchost.exe

PS : c'est tout à fait normal d'avoir pleins de programmes svchost.exe qui tournent sur la machine mais certains virus se font passer pour ce programme pour tenter d'échapper à la détection.
1
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
18 nov. 2013 à 14:09
Salut,

Une fois que tu as désactivé le service "SearchIndexer.exe", il faut que tu te rendes sur ton disque dur, tu fais un clic-droit sur celui-ci et tu choisis [Propriétés] et décoche la case [ Indexer ce lecteur pour une recherche rapide].
Clique sur [Appliquez], si une boite de dialogue avec un message d'erreur s'affiche, n'y tiens pas compte en cliquant sur Ignorez ou Continuez...
Une fois que tu as fais ça, redémarre l'ordinateur et vérifie via le gestionnaire de tâches, le processus devrait avoir disparu.

Tiens nous au jus;)

cdlt
0
Zlopeck Messages postés 16 Date d'inscription mercredi 5 novembre 2008 Statut Membre Dernière intervention 14 décembre 2017 2
18 nov. 2013 à 16:00
Bonjour et merci Ced_King,

Comme je l'ai indiqué dans mon précédent message, j'avais déjà décoché l'autorisation d'indexation de mes disques durs. J'ai effectivement eu le message d'erreur dont je n'ai pas tenu compte, j'ai eu la barre de progression et j'ai redémarré.
Pensant avoir peut être loupé une étape j'ai réactivé SearchIndexer.exe et j'ai recommencé le processus de désactivation mais même désactivé, il se recrée toujours un fichier SearchIndexer.exe dans "C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater."
Mystère, mystère...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
20 nov. 2013 à 13:32
salut,

on peut vérifier si le fichier est sain ou infecté :

Ouvrir la page VirusTotal https://www.virustotal.com/gui/

1 - Cliquer sur Choose File pour chercher le fichier à analyser
2 - Sélectionner le fichier à analyser
3 - Cliquer sur Scan it!
4 - Patienter le temps de l'envoi
5 - Souvent le fichier a déjà été analysé, si c'est le cas, cliquer sur Reanalyse
6 - Patienter le temps de l'analyse.
Le résultat s'affiche et indique le nombre de détections (Detection ratio)

poste le résultat dans ta prochaine réponse...

0
Bonjour Ced_King et le forum,

Effectivement, le problème doit se situer à ce niveau là. Comme tu me l'as conseillé j'ai scanné le fichier sur virus total et le résultat est le suivant : ratio de détection 27/47, donc si j'ai bien compris, reconnu comme "indésirable" par 27 antimalwares sur 47.
Je l'ai donc traité avec malwarebytes qui l'a identifié comme Trojan BitCoinMiner. J'ai lancé la désinfection, trojan supprimé, redémarrage et patatra, BitCoin présent au redémarrage de la machine. J'ai tenté un examen et nettoyage complet des disques mais sans succès (un seul indésirable : BitCoin) et ce en mode normal ou sans échec. J'ai aussi essayé ADWCleaner qui d'habitude lui aussi donne de très bons résultats et qui là ne voit rien.
Ce qui me surprend c'est que Malwarebytes supprime BitCoin mais qu'un nouveau est généré au redémarrage. J'en suis arrivé à la conclusion qu'un programme devait le réécrire au démarrage alors j'ai désactivé tous ce qui se lançait mais rien ne change. Le problème va être de trouver le coupable.
Pour l'instant j'en suis là...
Encore merci.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
21 nov. 2013 à 19:23
Salut,

Pour voir :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Bonjour Malekal_morte

J'ai suivi tes instructions et voila le lien vers le rapport OTL:
http://pjjoint.malekal.com/files.php?id=20131122_f7c10u10o7f10

Après le scan, je n'ai obtenu que le rapport OTL.txt, il n'y avait pas de Extras.txt

A toutes fins utiles, après avoir supprimé le fichier searchindexer.exe infecté dans C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater, si je redémarre mon PC en mode sans échec, aucun fichier searchindexer n'est recréé, en revanche, si je redémarre en mode normal en étant déconnecté d'internet, un nouveau fichier est créé mais n'utilise pas de ressources processeur puisque déconnecté. je ne sais pas si ces infos ont une quelconque importance mais j'essaie d'analyser la situation pour comprendre.
D'ailleurs est il normal qu'un fichier searchindexer se crée dans C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater? Est ce fichier qui est le trojan ou bien est ce que ce fichier sain est modifié par un autre programme? J'ai fait une recherche dans la base de registre pour voir si une entrée pointait vers l'emplacement de ce fichier mais je n'ai rien trouvé.

En attendant, merci pour ton aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
22 nov. 2013 à 15:30
Tu n'as pas fait le scan avec le script donné.
Recommence en suivant les instructions.
0
Oups, j'avais bien fait un copier mais pas de coller.

Voici donc le nouveau rapport :

http://pjjoint.malekal.com/files.php?id=20131122_p6i7y14y13r14
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
22 nov. 2013 à 19:18
bon déjà pour arreter le Miner, fais ça :
Affiche les fichiers cachés et systèmes et les extensions : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

~~

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Supprimer C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\SearchIndexer.exe

puis tu fais un clic droit / Nouveau / fichier texte
et tu le nommes SearchIndexer.exe

Redémarre l'ordinateur

T'auras un fichier vide, au pire ça fera une erreur NVDM avec un fond noir, tu fermes.

Ensuite scanne ces fichiers sur https://www.virustotal.com/gui/ - donne les liens de scan ici pour chaque fichier :

C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.20534_none_6d2dbb44bf4d51f2\winlogon.exe
C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.16384_none_6c6e0cf7a65840b6\winlogon.exe
C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.20521_none_6d358a52bf47e9fc\winlogon.exe
C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.16433_none_6ca31e2fa63098d1\winlogon.exe

0
En suivant tes instructions j'ai remplacé le dossier SearchIndexer.exe en mode sans échec et je l'ai remplacé par un fichier texte que j'ai renommé. J'ai donc obtenu un fichier SearchIndexer.exe de 0 octet. J'ai redémarré le PC (lequel ne m'a signalé aucune erreur) et environ 1 minute à 1 minute 30 après l'affichage du logo windows, le gestionnaire de tâches m'indiquait que SearchIndexer utilisait les ressources du processeur d'abord à 20% pour monter rapidement à 98%. Après vérification, le fichier texte que j'avais mis en lieu et place du fichier était passé de 0 à 553 Ko et contenait BitMiner. Il avait donc été remplacé.

Je l'ai donc arrêté dans le gestionnaire de tâches et j'ai scanné les fichiers winlogon.exe. Voilà les liens vers virustotal.

C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.20534_none_6d2dbb44bf4d51f2\winlogon.exe
https://www.virustotal.com/fr/file/662d3aba0ed7f6428b5177f2844bf9966939f390634d754ce39da092fe613b3a/analysis/1385146698/

C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.16384_none_6c6e0cf7a65840b6\winlogon.exe
https://www.virustotal.com/fr/file/88f96bfa7e152c201c4b0b8cedc3f2bbfd0425979ab82fb8d4501cd5e8501bf7/analysis/1385146861/

C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.20521_none_6d358a52bf47e9fc\winlogon.exe
https://www.virustotal.com/fr/file/0f87d7e200f0ef5d3ffa977b100f344f81b2d48876646c788deede54e50ea760/analysis/1385147030/

C:\Windows\WinSxS\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.2.9200.16433_none_6ca31e2fa63098d1\winlogon.exe
https://www.virustotal.com/fr/file/4a36860e456e94480b44ec268aaec5936e01a2016ce61dba6e396a4724567738/analysis/1385146363/
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
Modifié par Malekal_morte- le 23/11/2013 à 13:03
Mets Process Explorer : https://www.clubic.com/telecharger-fiche14566-process-explorer.html
Sur SearchIndexer.exe => clic droit / suspend
Ca va faire qu'il ne bouffe plus la CPU.

Tu peux envoyer C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\SearchIndexer.exe sur http://upload.malekal.com


Tu aurais pas le prb après avoir mis un cr*ack pour Glary ?

faudrait renommer le dossier C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\ ou le supprimer et voir ce que ça donne, en mode sans échec.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
J'ai stoppé SearchIndexer.exe avec Process Explorer et l'ai envoyé le fichier sur http://upload.malekal.com

En ce qui concerne Glary, c'est une version officielle enregistrée avec n° de série et tout et tout.

Pour la suppression, est ce du dossier "Updater" dont tu parles? OK, Je le sauvegarde sur une clé USB et je le supprime...


Ça y est, j'ai tenté la manoeuvre, le dossier est supprimé et SearchIndexer.exe ne se lance plus. Mais je suppose que ce dossier Updater doit avoir une certaine utilité pour Windows, quoi que tout semble fonctionner correctement pour le moment. Aucun message d'erreur ne s'affiche.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
23 nov. 2013 à 14:51
Il est relativement bien détecté mais comme tu as surement que Windows Defender, pas détecté : https://www.virustotal.com/gui/file/f61f0734aec5390c828be6925defe6bf8fd85e50949ee112ad25e2f57d1a560c

SHA256: f61f0734aec5390c828be6925defe6bf8fd85e50949ee112ad25e2f57d1a560c
File name: SearchIndexer.exe
Detection ratio: 27 / 47
Analysis date: 2013-11-23 13:49:25 UTC ( 0 minutes ago )

Agnitum RiskTool.BitCoinMiner!VUsuQGoy350 20131123
AhnLab-V3 Trojan/Win32.BitMiner 20131123
AntiVir SPR/Tool.BitCoinMiner.AX.3 20131123
Antiy-AVL 20131123
Avast Win32:BitCoinMiner-DN [PUP] 20131123
AVG 20131122
Baidu-International Trojan.Win32.Agent.ar 20131123
BitDefender Application.BitCoinMiner.AX 20131123
Bkav 20131123
ByteHero 20131118
CAT-QuickHeal 20131123
ClamAV 20131123
Commtouch W32/Trojan.ATXM-2175 20131123
Comodo UnclassifiedMalware 20131123
DrWeb Trojan.BtcMine.208 20131123
Emsisoft 20131123
ESET-NOD32 a variant of Win32/BitCoinMiner.AF 20131123
F-Prot 20131122
F-Secure 20131123
Fortinet W32/BitCoinMiner.N 20131123
GData Application.BitCoinMiner.AX 20131123
Ikarus Trojan.SuspectCRC 20131123
Jiangmin 20131123
K7AntiVirus Riskware ( 0040f0f51 ) 20131123
K7GW Riskware ( 0040f0f51 ) 20131123
Kaspersky not-a-virus:RiskTool.Win32.BitCoinMiner.evy 20131123
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130829
Malwarebytes Trojan.BitCoinMiner 20131123
McAfee RDN/Generic PUP.x!b2r 20131123
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.J!89 20131122
Microsoft 20131123
MicroWorld-eScan Application.BitCoinMiner.AX 20131123
NANO-Antivirus 20131123
Norman 20131123
nProtect 20131122
Panda Trj/CI.A 20131122
Rising Trojan.Win32.Generic.14AF022E 20131122
Sophos Generic PUA BN 20131123
SUPERAntiSpyware 20131123
Symantec 20131123
TheHacker 20131123
TotalDefense 20131122
TrendMicro TROJ_SPNR.07H913 20131123
TrendMicro-HouseCall TROJ_SPNR.07H913 20131123
VBA32 20131123
VIPRE Trojan.Win32.Generic!BT 20131123
ViRobot 20131123

~~


Tu peux faire ça pour voir :

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

[*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

[*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:


:regfind
SearchIndexer.exe


[*]Click le bouton Look pour commencer le scan.
[*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt


0
Voilà le rapport SystèmLook


SystemLook 30.07.11 by jpshortstuff
Log created at 16:12 on 23/11/2013 by Jack
Administrator - Elevation successful

========== regfind ==========

Searching for "SearchIndexer.exe"
[HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\6c\D9B7F780]
"@%systemroot%\system32\SearchIndexer.exe,-104"="Fournit des fonctionnalités d'indexation de contenu, de mise en cache des propriétés, de résultats de recherche pour les fichiers, les messages électroniques et autres contenus."
[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Windows\System32\SearchIndexer.exe.FriendlyAppName"="Indexeur Microsoft Windows Search"
[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Windows\System32\SearchIndexer.exe.ApplicationCompany"="Microsoft Corporation"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{49c2c27c-fe2d-40bf-8c4e-c3fb518037e7}]
"ResourceFileName"="%SystemRoot%\system32\SearchIndexer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{49c2c27c-fe2d-40bf-8c4e-c3fb518037e7}]
"MessageFileName"="%SystemRoot%\system32\SearchIndexer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{dab065a9-620f-45ba-b5d6-d6bb8efedee9}]
"ResourceFileName"="%SystemRoot%\system32\SearchIndexer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{dab065a9-620f-45ba-b5d6-d6bb8efedee9}]
"MessageFileName"="%SystemRoot%\system32\SearchIndexer.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System]
"SearchIndexer-3"="V2.0|Action=Allow|Dir=Out|RPort=389|Protocol=6|App=%SystemRoot%\system32\SearchIndexer.exe|Svc=WSearch|Name=Allow outbound LDAP traffic from SearchIndexer|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System]
"SearchIndexer-2"="V2.0|Action=Block|Dir=Out|App=%SystemRoot%\system32\SearchIndexer.exe|Svc=WSearch|Name=Block all outbound traffic from SearchIndexer|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System]
"SearchIndexer-1"="V2.0|Action=Block|Dir=In|App=%SystemRoot%\system32\SearchIndexer.exe|Svc=WSearch|Name=Block all inbound traffic to SearchIndexer|"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WSearch]
"ImagePath"="%systemroot%\system32\SearchIndexer.exe /Embedding"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WSearch]
"Description"="@%systemroot%\system32\SearchIndexer.exe,-104"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System]
"SearchIndexer-3"="V2.0|Action=Allow|Dir=Out|RPort=389|Protocol=6|App=%SystemRoot%\system32\SearchIndexer.exe|Svc=WSearch|Name=Allow outbound LDAP traffic from SearchIndexer|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System]
"SearchIndexer-2"="V2.0|Action=Block|Dir=Out|App=%SystemRoot%\system32\SearchIndexer.exe|Svc=WSearch|Name=Block all outbound traffic from SearchIndexer|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System]
"SearchIndexer-1"="V2.0|Action=Block|Dir=In|App=%SystemRoot%\system32\SearchIndexer.exe|Svc=WSearch|Name=Block all inbound traffic to SearchIndexer|"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSearch]
"ImagePath"="%systemroot%\system32\SearchIndexer.exe /Embedding"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSearch]
"Description"="@%systemroot%\system32\SearchIndexer.exe,-104"
[HKEY_USERS\S-1-5-21-1686470230-586133443-1162306079-1000\Software\Classes\Local Settings\MuiCache\6c\D9B7F780]
"@%systemroot%\system32\SearchIndexer.exe,-104"="Fournit des fonctionnalités d'indexation de contenu, de mise en cache des propriétés, de résultats de recherche pour les fichiers, les messages électroniques et autres contenus."
[HKEY_USERS\S-1-5-21-1686470230-586133443-1162306079-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Windows\System32\SearchIndexer.exe.FriendlyAppName"="Indexeur Microsoft Windows Search"
[HKEY_USERS\S-1-5-21-1686470230-586133443-1162306079-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Windows\System32\SearchIndexer.exe.ApplicationCompany"="Microsoft Corporation"
[HKEY_USERS\S-1-5-21-1686470230-586133443-1162306079-1000_Classes\Local Settings\MuiCache\6c\D9B7F780]
"@%systemroot%\system32\SearchIndexer.exe,-104"="Fournit des fonctionnalités d'indexation de contenu, de mise en cache des propriétés, de résultats de recherche pour les fichiers, les messages électroniques et autres contenus."
[HKEY_USERS\S-1-5-21-1686470230-586133443-1162306079-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Windows\System32\SearchIndexer.exe.FriendlyAppName"="Indexeur Microsoft Windows Search"
[HKEY_USERS\S-1-5-21-1686470230-586133443-1162306079-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Windows\System32\SearchIndexer.exe.ApplicationCompany"="Microsoft Corporation"

-= EOF =-
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
23 nov. 2013 à 17:10
biz aucune référence.

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout en faisant un clic droit / cocher tout
puis bouton supprimer sélection pour tout supprimer.
0
Et voilà le rapport Malwarebyte :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.11.23.06

Windows 8 x86 NTFS
Internet Explorer 10.0.9200.16736
Jack :: JACK-PC [administrateur]

23/11/2013 17:29:18
mbam-log-2013-11-23 (17-29-18).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 252771
Temps écoulé: 7 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\SearchIndexer.exe (Trojan.BitCoinMiner) -> 5872 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Jack\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\SearchIndexer.exe (Trojan.BitCoinMiner) -> Suppression au redémarrage.
C:\Users\Jack\Local Settings\Temporary Internet Files\Content.IE5\E6YKWMMX\SearchIndexer[1].exe (Trojan.BitCoinMiner) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
24 nov. 2013 à 12:09
il ne revient plus ?
0
Zlopeck Messages postés 16 Date d'inscription mercredi 5 novembre 2008 Statut Membre Dernière intervention 14 décembre 2017 2
24 nov. 2013 à 13:59
Hélas si, il est toujours présent
Quoique je fasse, que je passe Malwarebyte qui reconnait le trojan et le mets en quarantaine et le supprime, que je supprime moi même le fichier Searchindexer.exe, que je le remplace par un fichier vide ou que je le renomme, à chaque démarrage le fichier est de nouveau présent et actif.
Pour l'instant la seule parade pour que BitCoinMiner ne s'installe pas c'est de supprimer le dossier "Updater" dans lequel se crée SearchIndexer.exe.
J'ai modifié l'extention exe en txt pour l'ouvrir avec le bloc note au cas ou je trouve une info mais mis à part ce qui semble être l'adresse du site Stratum mining eligius, je n'ai rien vu qui me renseigne sur le programme qui est responsable de cette cochonnerie.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
Modifié par Malekal_morte- le 24/11/2013 à 14:01
et si tu le vires et redémarre en mode sans échec, sans passer par le mode normal, il se recréé en mode sans échec ?
0
Zlopeck Messages postés 16 Date d'inscription mercredi 5 novembre 2008 Statut Membre Dernière intervention 14 décembre 2017 2
24 nov. 2013 à 14:27
J'avais déjà tenté l'expérience mais j'ai de nouveau essayé.
Une fois le fichier supprimé (qu'il soit supprimé en mode normal ou en mode sans échec), lors du redémarrage en mode sans échec il ne réapparait pas.
En mode redémarrage normal sans être connecté à internet, il réapparait mais ne bouffe pas de CPU.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 659
24 nov. 2013 à 14:32
ok,
essaye de le virer et de désactiver un max de trucs dans msconfig (onglet démarrage puis services) pour essayer de déterminer, ce qui pourrait le recréer au démarrage.
0