Page 1 sur 1

Possible virus ou autre souci?

Posté : ven. 8 sept. 2023 16:23
par Hayas
Bonjour,

Je me permets de poster sur ce forum car depuis environ 1 semaine je rencontre des problèmes avec ma connexion. J'ai une très mauvaise connexion Internet depuis toujours , surtout quand deux appareils sont connectés en même temps. Seulement, depuis quelques temps, la connexion est encore plus lente y compris quand l'ordinateur est le seul appareil allumé.

En essayant de comprendre ce qu'il se passait, j'ai remarqué que de nombreux process appartenant à priori à Microsoft se déclenchaient et mangeaient la bande passante:
- Xbox Game Bar (je m'en sers occasionnellement pour filmer l'écran mais je n'avais jamais remarqué que ça prenait Internet et là il s'allume même sans que je ne le demande)
- service de trame de la caméra (je ne me sers presque jamais de la caméra)
- service de chiffrement
- client DNS
- service de transfert intelligent en arrière plan
- service d'assistance de connexion avec un compte microsoft
- service windows Insider
- client de stratégie de groupe
- optimisation de livraison...
Ce sont autant de choses qui se déclenchent sans que je ne l'ai demandé. Ils ne sont pas en même temps mais je les ai remarqués en ouvrant le gestionnaire des tâches dans les moments où la connexion ralentissait le plus.

J'ai vu une astuce sur Internet consistant à désactiver un paramètre dans Windows Update (Autoriser le téléchargement depuis d'autres PCs). Ce paramètre était déjà désactivé (je l'avais fait il y a longtemps car ma connexion a toujours été très faible).

Un scan Avast n'a pas révélé de problèmes. Je suis tombée sur la procédure avec ZHP Diag et FRST. Je joins les rapports générés:
- ZHP Diag: https://www.cjoint.com/c/MIior0eduHO
- Addition: https://www.cjoint.com/c/MIiouAPacmO
- FRST: https://www.cjoint.com/c/MIiovmPsRvO
- Shortcut: https://www.cjoint.com/c/MIiovOgzbNO

Serait ce possible de savoir si mon PC a un virus? Y-a-t-il également un autre problème?

Merci par avance à ceux qui prendront le temps de m'aider et bonne soirée.

Bien cordialement.

Re: Possible virus ou autre souci?

Posté : ven. 8 sept. 2023 17:29
par did80
je regarde tes rapports et je reviens vers toi

Didier

Re: Possible virus ou autre souci?

Posté : ven. 8 sept. 2023 18:52
par did80
Re

1/ le disque
RE - N3 - Temps de latence maximal de lecture (Maximum read latency) (ms): 3.118
Le temps de latence maximal de lecture d’un HDD est fonction de la vitesse de rotation des plateaux.
Une remarque s’affiche dans le cas où le temps de lecture serait supérieur à 20 ms pour les HDD.
Pour les SSD, le temps de lecture dépasse rarement quelques dixième de milliseconde, une remarque s’affiche lorsque les 3 millisecondes sont dépassées
RE - E8 - Espace de réserve disponible (Available reserved Space) - [0][100][100] [5][0]

2/ Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKU\S-1-5-21-129237705-3928954884-3853648280-1001\...\Run: [com.blitz.app] => C:\Users\Maud\AppData\Local\Programs\Blitz\Blitz.exe --autostart (Pas de fichier)
Task: {260373E5-3217-4AEA-B4F6-86385B020437} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (Pas de fichier)
Task: {EFEB8FF8-C031-484E-B2F3-F0BF58CECE8A} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-129237705-3928954884-3853648280-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
CustomCLSID: HKU\S-1-5-21-129237705-3928954884-3853648280-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Maud\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20240.5\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext.dll -> Pas de fichier
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext32.dll -> Pas de fichier
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext.dll -> Pas de fichier
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext32.dll -> Pas de fichier
SearchScopes: HKU\S-1-5-21-129237705-3928954884-3853648280-1001 -> DefaultScope {F0B4DD14-2747-4ACD-89E5-ACFB61BA4184} URL =
SearchScopes: HKU\S-1-5-21-129237705-3928954884-3853648280-1001 -> {F0B4DD14-2747-4ACD-89E5-ACFB61BA4184} URL =
FirewallRules: [TCP Query User{9BE7401F-0BB4-4ECF-96F9-F545F2817CA0}C:\users\maud\appdata\local\programs\evernote\evernote.exe] => (Allow) C:\users\maud\appdata\local\programs\evernote\evernote.exe => Pas de fichier
FirewallRules: [UDP Query User{FD189484-0EAE-49C3-AA11-1EADC3A91B48}C:\users\maud\appdata\local\programs\evernote\evernote.exe] => (Allow) C:\users\maud\appdata\local\programs\evernote\evernote.exe => Pas de fichier
C:\Users\Maud\Desktop\Jupyter Notebook (anaconda3).lnk
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_A0AA777A643CE889770C4F4EBC1516DC
DeleteValue: HKEY_USERS\S-1-5-21-129237705-3928954884-3853648280-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_A0AA777A643CE889770C4F4EBC1516DC
StartBatch:
For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
For /D %%d In ("%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\cookies.sqlite" Del /s /q "%%d\cookies.sqlite")
For /D %%d In ("%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Places.Sqlite" Del /s /q "%%d\Places.Sqlite")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\History"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\History"
Endbatch:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

Re: Possible virus ou autre souci?

Posté : ven. 8 sept. 2023 18:55
par did80
Re

1/ le disque
RE - N3 - Temps de latence maximal de lecture (Maximum read latency) (ms): 3.118
Le temps de latence maximal de lecture d’un HDD est fonction de la vitesse de rotation des plateaux.
Une remarque s’affiche dans le cas où le temps de lecture serait supérieur à 20 ms pour les HDD.
Pour les SSD, le temps de lecture dépasse rarement quelques dixième de milliseconde, une remarque s’affiche lorsque les 3 millisecondes sont dépassées
RE - E8 - Espace de réserve disponible (Available reserved Space) - [0][100][100] [5][0]

L’espace de réserve disponible (Available Reserved Space) encore appelée “Zone de réserve” stocke les données des secteurs réalloués. Ces secteurs réalloués proviennent d’erreur de lecture, d’écriture ou de vérification de secteur.

2/ Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKU\S-1-5-21-129237705-3928954884-3853648280-1001\...\Run: [com.blitz.app] => C:\Users\Maud\AppData\Local\Programs\Blitz\Blitz.exe --autostart (Pas de fichier)
Task: {260373E5-3217-4AEA-B4F6-86385B020437} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (Pas de fichier)
Task: {EFEB8FF8-C031-484E-B2F3-F0BF58CECE8A} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-129237705-3928954884-3853648280-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Pas de fichier)
CustomCLSID: HKU\S-1-5-21-129237705-3928954884-3853648280-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Maud\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20240.5\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext.dll -> Pas de fichier
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext32.dll -> Pas de fichier
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext.dll -> Pas de fichier
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\Program Files\rarext32.dll -> Pas de fichier
SearchScopes: HKU\S-1-5-21-129237705-3928954884-3853648280-1001 -> DefaultScope {F0B4DD14-2747-4ACD-89E5-ACFB61BA4184} URL =
SearchScopes: HKU\S-1-5-21-129237705-3928954884-3853648280-1001 -> {F0B4DD14-2747-4ACD-89E5-ACFB61BA4184} URL =
FirewallRules: [TCP Query User{9BE7401F-0BB4-4ECF-96F9-F545F2817CA0}C:\users\maud\appdata\local\programs\evernote\evernote.exe] => (Allow) C:\users\maud\appdata\local\programs\evernote\evernote.exe => Pas de fichier
FirewallRules: [UDP Query User{FD189484-0EAE-49C3-AA11-1EADC3A91B48}C:\users\maud\appdata\local\programs\evernote\evernote.exe] => (Allow) C:\users\maud\appdata\local\programs\evernote\evernote.exe => Pas de fichier
C:\Users\Maud\Desktop\Jupyter Notebook (anaconda3).lnk
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_A0AA777A643CE889770C4F4EBC1516DC
DeleteValue: HKEY_USERS\S-1-5-21-129237705-3928954884-3853648280-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|AvastBrowserAutoLaunch_A0AA777A643CE889770C4F4EBC1516DC
StartBatch:
For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
For /D %%d In ("%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\cookies.sqlite" Del /s /q "%%d\cookies.sqlite")
For /D %%d In ("%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Places.Sqlite" Del /s /q "%%d\Places.Sqlite")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\History"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\History"
Endbatch:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

Re: Possible virus ou autre souci?

Posté : ven. 8 sept. 2023 23:00
par Hayas
Merci!
Comment se fait-il que le temps de latence soit supérieur à 3ms? Le PC est pourtant récent (mai 2019).

J'ai copié les lignes et appuyé sur corrigé, cela a mis énormément de temps! Mais voici le rapport généré: https://www.cjoint.com/c/MIiu6upY8OO

Merci et bonne soirée.

Re: Possible virus ou autre souci?

Posté : sam. 9 sept. 2023 15:15
par did80
:bonjour:

Image
Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://nicolascoolman.eu/download/tele ... r-gratuit/

https://www.pcastuces.com/logitheque/zhpcleaner.htm

Faire un click droit sur zhpcleaner

exécute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image

Image


Mode Scanner

Image


Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)

héberger le rapport sur www.cjoint.com/ si volumineux

Re: Possible virus ou autre souci?

Posté : sam. 9 sept. 2023 19:52
par Hayas
J'ai un petit doute, faut-il que je coche toutes les cases ou uniquement celles cochées sur le screenshot? Désolée c'est un peu bête comme question mais comme je ne connais rien je préfère être sûre de ne pas faire de bêtise et de communiquer le bon rapport!

Re: Possible virus ou autre souci?

Posté : sam. 9 sept. 2023 21:13
par did80

Re: Possible virus ou autre souci?

Posté : dim. 10 sept. 2023 18:39
par Hayas
Voici le rapport généré avec les bons paramètres: https://www.cjoint.com/c/MIkqNaDsvpO

Edit: je ne sais pas si ça a un rapport avec la procédure ou un éventuel virus ou autre mais mes dossiers épinglés dans l'explorateur de fichiers ont changé (je préfère le préciser).

Re: Possible virus ou autre souci?

Posté : dim. 10 sept. 2023 20:05
par did80
:bonjour:

relance zhpcleaner

après le scan cliques sur le bouton Nettoyer

héberge moi le rapport après suppression

Re: Possible virus ou autre souci?

Posté : dim. 10 sept. 2023 23:52
par Hayas
Voici le rapport généré: https://www.cjoint.com/c/MIkvWVn0UTO

Malheureusement je constate que les services me prenant la connexion sont toujours actifs et consommateurs après les nettoyages.

Par ailleurs windows me propose une mise à jour, faut-il que je la fasse ou que j'attende la fin de la désinfection pour ne pas compromettre l'analyse des rapports précédents?
Image

Merci pour l'aide et le temps.

Re: Possible virus ou autre souci?

Posté : lun. 11 sept. 2023 11:51
par did80
:bonjour:

la désinfection ne fera rien pour tes processus

désactive ce qui est inutile pour toi ce n'est pas du ressort d ctte catégorie

fais ta maj et reviens ensuite

Re: Possible virus ou autre souci?

Posté : mar. 12 sept. 2023 23:06
par Hayas
Ok intéressant merci, du coup j'imagine que la section windows.html serait plus appropriée pour savoir ce que je peux désactiver et comment? Si ce n'est pas dû à un virus c'est finalement une bonne nouvelle.
Pour la désinfection, s'il reste quelque chose, la MAJ est faite.

Re: Possible virus ou autre souci?

Posté : mer. 13 sept. 2023 13:29
par did80
:bonjour:

ceci maintenant

Télécharger Malwarebytes

https://fr.malwarebytes.com

Lancer L'analyse rootkit activé

Image


Image

Image

A la fin du scan exporter au format txt

Image

Héberger le rapport sur cjoint

Re: Possible virus ou autre souci?

Posté : jeu. 14 sept. 2023 01:44
par Hayas
Bonjour, voici le rapport: https://www.cjoint.com/c/MInxSl6BoYA

Re: Possible virus ou autre souci?

Posté : jeu. 14 sept. 2023 17:27
par did80
:bonjour:

on continue

Télecharger Roguekiller de Tigzy

https://www.adlice.com/fr/download/rogu ... /#download

prendre la version correspondant a votre système

Choisir la version voulue

  • Installer 32/64 bits

    Portable 32 bits

    Portable 64 bits
Lancer le scan

Image

Image


A la fin du scan cliquez sur résultats

Image

Image

héberge le rapport sur cjoint

Re: Possible virus ou autre souci?

Posté : jeu. 14 sept. 2023 19:43
par Hayas
Bonjour, voici le rapport: https://www.cjoint.com/c/MIorRBH7vuO, merci!

Re: Possible virus ou autre souci?

Posté : ven. 15 sept. 2023 16:44
par did80
:bonjour:

relance l'outil

et met en quarantaine

heberge le rapport après suppression

@+

Re: Possible virus ou autre souci?

Posté : dim. 17 sept. 2023 17:53
par Hayas
Bonjour, je ne sais pas si j'ai réussi à mettre en quarantaine, je crois que je l'ai supprimé. Voici les deux rapports générés:
Image

Scan: https://www.cjoint.com/c/MIrp0HSnkmy
Suppression: https://www.cjoint.com/c/MIrp0bn2W5y

Re: Possible virus ou autre souci?

Posté : lun. 18 sept. 2023 10:45
par did80
:bonjour:

pour finir
KpRm (de Kernel-panik)

· Téléchargez sur le bureau

https://toolslib.net/downloads/viewdownload/951-kprm/



· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils

o Créer un point de restauration

o Supprimer dans 7 jours

Image

· Cliquez sur [Exécuter]...

· Un rapport kprm-aaaammjj.txt se trouve sur le bureau

· Hébergez le rapport sur Cjoint

· Donnez le lien créé dans votre réponse.