Forum d'Entraide Informatique (FEI)

Bonjour à tous,

Je me suis proposé de chercher une solution pour soigner le PC de ma fille qui rentre en école d'ingénieur fin Aout, et qui est actuellement monitrice en centre de vacances ce qui explique que c'est moi qui m'y colle

Les symptômes : certains utilitaires ne fonctionnent pas correctement, blocages, réponses anarchiques à certaines commandes, etc...

La situation : Le PC est utilisé pour travailler, pour des visios et pour regarder pas mal de films en streaming ( oui les soucis pourrraient venir de là )

Ne sachant pas comment procéder mais ayant lu quelques post, j'ai téléchargé ZHP dont voici le 1er rapport :

https://www.cjoint.com/c/MHimFHdTXZZ

Merci
Michael

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

Bonjour Didier,

Merci pour votre réponse, voici le résultat ZHP :

https://www.cjoint.com/c/MHimFHdTXZZ

dans l'attente des liens farbar

frst
Addition
shortcut

Les voici

https://www.cjoint.com/c/MHiqUJLM2fZ

https://www.cjoint.com/c/MHiqXw0RTqZ

https://www.cjoint.com/c/MHiqYePLrjZ

re

Lance Farbar



Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction - Edge <==== ATTENTION
GroupPolicy-Firefox: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
S2 ElevationService; C:\Program Files (x86)\Wondershare\drfone\Addins\Transfer\ElevationService.exe [X]
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
CustomCLSID: HKU\S-1-5-21-2778292364-3399344871-1874558377-1005_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Alice\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2778292364-3399344871-1874558377-1005_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\Alice\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier
FirewallRules: [UDP Query User{E251C16A-93E6-46F7-B5B1-CFA5586D13A9}C:\users\alice\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\alice\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [TCP Query User{9DC94226-80B8-490B-A0D7-2DAFD46F1266}C:\users\alice\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\alice\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [UDP Query User{D0CAF3C6-72D6-4E6A-8FE8-A4DF0104F7B6}C:\users\alice\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\alice\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [TCP Query User{5A6CA960-4131-4373-9C9E-B595EE4909FF}C:\users\alice\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\alice\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [{2A35B47C-3E35-43F0-B43D-BA701177FC81}] => (Block) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Pas de fichier
FirewallRules: [{0F9BE82C-1249-46D0-8FE0-2DBB2A9FCB01}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Pas de fichier
FirewallRules: [{33A86E2D-6502-4923-8894-3BB2D98D81DA}] => (Allow) C:\Program Files (x86)\Avira\SoftwareUpdater\avirasoftwareupdatertoastnotificationsbridge.exe => Pas de fichier
StartRegedit:
Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
EndRegedit:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

Voici le FixLog

https://www.cjoint.com/c/MHisAomYTfZ

on continue

Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/

https://www.pcastuces.com/logitheque/zhpcleaner.htm

Faire un click droit sur zhpcleaner

exécute le en tant qu'administrateur

1/ ouvrir les options et tout cocher






Mode Scanner




Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)

héberger le rapport sur www.cjoint.com/ si volumineux

Bonjour Didier,

on continue en effet, merci, voici le scan :

https://www.cjoint.com/c/MHjl4c74x8Z

Michael

relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression

Voilà : https://www.cjoint.com/c/MHjo2WGNHjZ

Quand tu dis "après suppression" , je n'ai pas compris,que faut il que je supprime ?

c'est bon

on continue

Télécharger Malwarebytes

https://fr.malwarebytes.com

Lancer L'analyse rootkit activé








A la fin du scan exporter au format txt



Héberger le rapport sur cjoint

Voilà voilou

https://www.cjoint.com/c/MHjq4qz3okZ

Aucune action de l'utilisateur signifie que rien n'est supprimer

relance l'outil

et met en quarantaine

heberge le rapport après suppression

@+

Voila cette fois j'ai bien supprimé les 7 éléments, je n'ai ensuite pas réussi à exporter (ça c'est mon côté professionnel de l'informatique )donc j'ai relancé MB une dernière fois et voici le résultat

https://www.cjoint.com/c/MHjsekA548Z

Bonne soirée

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue


Installer 32/64 bits

Portable 32 bits

Portable 64 bits

Lancer le scan






A la fin du scan cliquez sur résultats





héberge le rapport sur cjoint

Voici le RogueKiller : https://www.cjoint.com/c/MHkkOL5HBBZ

relance l'outil

et met en quarantaine

fais un nouveau rapport ensuite

voilà le rapport : https://www.cjoint.com/c/MHkn3DHpM8Z

Lance Farbar



Copies les lignes suivantes dans le cadre rouge

SearchAll: Webcompanion ; wind blocker

Chercher fichier

héberge rapport search.txt

voilà :

Farbar Recovery Scan Tool (x64) Version: 06-08-2023
Exécuté par Alice (10-08-2023 18:25:42)
Exécuté depuis C:\Users\Alice\OneDrive\Bureau
Mode d'amorçage: Normal

================== Chercher Fichiers: "SearchAll: Webcompanion ; wind blocker" =============

Fichier:
========

dossier:
========

Registre:
========

===================== Résultats de recherche pour "Webcompanion " ==========


===================== Résultats de recherche pour "wind blocker" ==========


====== Fin de Chercher ======

Comment va la machine?

Selon moi ça va, mais je vais le demander à Alice , elle sait mieux que moi ce qui n'allait pas.
Pour l'heure elle est avec les marmots pour la nuit des étoiles... verdict demain soir

En tout cas merci d'avance,
Bonne soirée, accolade du 59
Michael

si ok

je te ferai désinstaller les tools

Bonjour Didier,
Je reviens vers toi après essai

Voici les 3 problèmes persistants qui surviennent de façon totalement aléatoire mais très régulièrement (essai quelques heures ce matin) :

- le scroll de l'écran revient systématiquement en haut de page, et reste parfois bloqué sans pouvoir descendre. parfois ça fonctionne avec la souris mais pas avec les flèches haut/bas, parfois c'est l'inverse et parfois ni l’un ni l'autre donc très embêtant.

- le curseur revient tout seul en début de ligne pendant l'écriture

- quand je veux cocher certains éléments d'un même dossier pour les copier ou supprimer etc..., la sélection s'annule. Par exemple je coche uniquement le 3e élément + copier et il me copie le 1er qui n'était pas sélectionné.

Voilà, est ce que ça pourrait peut être être un problème "mécanique" ? touche fatiguée ? qui bloque ?

pas un problème viral

pour finir

KpRm (de Kernel-panik)

· Téléchargez sur le bureau

https://toolslib.net/downloads/viewdownload/951-kprm/



· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils

o Créer un point de restauration

o Supprimer dans 7 jours

https://forum.pcastuces.com/img2/278a79 ... 125f31.png

· Cliquez sur [Exécuter]...

· Un rapport kprm-aaaammjj.txt se trouve sur le bureau

· Hébergez le rapport sur Cjoint

· Donnez le lien créé dans votre réponse.

Bonjour

voici le rapport https://www.cjoint.com/c/MHnguIIM7WZ

bonne suite

OK,merci pour ton aide
Bon dimanche

de rien