Page 1 sur 1

Possible infection

Posté : ven. 9 août 2024 11:51
par Comy
Bonjour les amis,

J'espère que vous allez pouvoir m'aider.

Mon PC redémarre de façon tout à fait aléatoire.

J'ai remarqué que mon débit ascendant était très faible 0.25 Mbps alors que j'ai 650 Mbps en descendant.

J'ai pourtant kaspersky a jour sur mon PC.

Kaspersky m'a averti d'un souci avec Runetime Broker... une piste ?

Merci pour toute l'aide que vous pourrez m'accorder.

Amitiés.
Serge.

Re: Possible infection

Posté : ven. 9 août 2024 13:07
par did80
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

Re: Possible infection

Posté : ven. 9 août 2024 13:46
par Comy
Merci Didier, j'ai beaucoup d'admiration pour les personnes qui donnent de leur temps gratuitement afin d'aider d'autres personnes dans le besoin.

Voici le lien ZHPdiag.txt : https://www.cjoint.com/c/NHjlFx2GA1o

FRST.txt : https://www.cjoint.com/c/NHjlSegcz7o

Addition.txt : https://www.cjoint.com/c/NHjlSQGzZOo

Shortcut.txt : https://www.cjoint.com/c/NHjlTvfjNzo

Mille mercis pour votre aide.

Re: Possible infection

Posté : ven. 9 août 2024 18:49
par did80
re

disque dur a surveiller

RE - E8 - Espace de réserve disponible (Available reserved Space) - [0][100][100] [50][0]

L’espace de réserve disponible (Available Reserved Space) encore appelée “Zone de réserve” stocke les données des secteurs réalloués.*
Ces secteurs réalloués proviennent d’erreur de lecture, d’écriture ou de vérification de secteur
. Le remappind représente ce mode de transfert et les secteurs réalloués sont nommés “Remaps“.

Sur les disques modernes, les mauvais blocs ne sont pas visibles car les secteurs réalloués sont cachés de la zone de réserve.
Mais un nombre important de secteurs réalloués entraîne à terme une diminution des performances du disque avec une diminution de sa vitesse d’écriture et de lecture.


si firefox est ton navigateur principal

1/ https://support.mozilla.org/fr/kb/resta ... rque-pages

2/ Lance Farbar

[img]https://forum.pcastuces.com/img2/14ec48 ... 17e894.png

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKU\S-1-5-21-1371364416-3172314493-2215555645-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Pas de fichier) <==== ATTENTION
HKU\S-1-5-21-1371364416-3172314493-2215555645-1001\...\MountPoints2: {84a7c4c4-f0ea-11ee-896d-dc41a95855ec} - "F:\HiSuiteDownLoader.exe"
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
FF Plugin-x32: 3ds.com/ComposerPlayerWebPlugin_x86_64 -> \\devsilo1\builds\sw2021_sp03\sw\Release\x64\d210326.009.BGS.final\composer\Bin\npcomposerplayerwebplugin.dll [Pas de fichier]
S3 SliceDisk5; \??\C:\Program Files\A-FF Find and Mount\slicedisk-x64.sys [X]
CustomCLSID: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001_Classes\CLSID\{def64470-e13e-4b1d-8881-5db5ca21aef1}\InprocServer32 -> C:\Program Files\Mozilla Thunderbird\notificationserver.dll => Pas de fichier
ContextMenuHandlers1: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Pas de fichier
ContextMenuHandlers1: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Pas de fichier
ContextMenuHandlers4: [Kaspersky Premium 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Pas de fichier
ContextMenuHandlers4: [Kaspersky Premium 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Pas de fichier
SearchScopes: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001 -> DefaultScope {21A4158D-F098-486F-BD1D-8A0965F9A531} URL =
SearchScopes: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001 -> {21A4158D-F098-486F-BD1D-8A0965F9A531} URL =
FirewallRules: [{1ECE2ACA-06FD-4951-B4A8-E9CF804213A2}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Pas de fichier
FirewallRules: [{0DE930D0-F05C-4D2E-B0D5-27445B287D6E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Pas de fichier
FirewallRules: [{7F578E7C-4D21-49D4-A7A9-809CCF9503A1}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Pas de fichier
FirewallRules: [{64A0E832-2BE9-4F24-A21A-D63DE650DDA0}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Pas de fichier
FirewallRules: [{175F8D70-57CB-48B4-9086-BA67863FE907}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Quake Live\quakelive_steam.exe => Pas de fichier
FirewallRules: [{1ACD43FB-E622-4797-BE33-A52AD9715C39}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Quake Live\quakelive_steam.exe => Pas de fichier
FirewallRules: [{8D78B9F8-7AE1-4132-BC3B-E6B9B3EE1571}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\quakechampions\client\bin\pc\QuakeChampions.exe => Pas de fichier
FirewallRules: [{30B6A901-B7DB-4308-AAE7-A26061CBA08B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\quakechampions\client\bin\pc\QuakeChampions.exe => Pas de fichier
FirewallRules: [{6AEDD920-6E8F-44F3-A238-C96836F6CB32}] => (Allow) C:\Users\comtr\AppData\Local\Programs\Opera\106.0.4998.28\opera.exe => Pas de fichier
StartRegedit:
Windows Registry Editor Version 5.00
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P]
EndRegedit:
DeleteValue: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteValue: HKEY_USERS\S-1-5-21-1371364416-3172314493-2215555645-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
DeleteKey: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKCU\Software\Lavasoft\Web Companion
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\Lavasoft\Web Companion
DeleteKey: HKLM\SOFTWARE\34f18d20-cd77-5abe-b8da-25524d95050a
DeleteKey: HKLM\SOFTWARE\baea5552-d2b1-5b8b-b604-96c17f1bb416
DeleteKey: HKLM\SOFTWARE\WOW6432Node\baea5552-d2b1-5b8b-b604-96c17f1bb416
DeleteKey: HKCU\SOFTWARE\baea5552-d2b1-5b8b-b604-96c17f1bb416
DeleteKey: HKCU\SOFTWARE\d2f3b6c7-6f49-59e2-b8a5-f72e33900c2b
DeleteKey: HKCU\SOFTWARE\fbd30ee5-8150-549e-9aed-fd9d444364fb
DeleteKey: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001\SOFTWARE\baea5552-d2b1-5b8b-b604-96c17f1bb416
DeleteKey: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001\SOFTWARE\d2f3b6c7-6f49-59e2-b8a5-f72e33900c2b
DeleteKey: HKU\S-1-5-21-1371364416-3172314493-2215555645-1001\SOFTWARE\fbd30ee5-8150-549e-9aed-fd9d444364fb
C:\Program Files (x86)\QuickTime
StartBatch:
For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\*"
Endbatch:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

Re: Possible infection

Posté : ven. 9 août 2024 23:52
par Comy
Hello,

Merci pour votre réponse rapide. C'est vraiment sympa.

J'ai compris que mon disque dur est à surveiller. Mais je n'ai pas compris ce que je dois faire pour cela.

Firefox n'est pas mon navigateur par défaut, c'est Opera.

Voici le fichier Fixlog : https://www.cjoint.com/c/NHjvXVgbEJo

Encore merci.

Re: Possible infection

Posté : sam. 10 août 2024 13:24
par did80
disque a changer si lenteur what else

ceci maintenant

https://forum.pcastuces.com/pre_nettoyage-f26s887.htm

3 rapports

Re: Possible infection

Posté : sam. 10 août 2024 15:38
par Comy
Bonjour,

Voici les rapports :

ZHPCleanner : https://www.cjoint.com/c/NHknHTjrSco

AdwCleaner[C00] : https://www.cjoint.com/c/NHknJldfTBo

AdwCleaner[S00] : https://www.cjoint.com/c/NHknJ4Ju3lo

Malwarebytes Compte-rendu d’analyse 2024-08-10 132540 : https://www.cjoint.com/c/NHknKF1inVo

Pour le moment mon PC n'a pas redémarré tout seul. Par contre, j'ai plus de 900 Mbps en descendant mais toujours 0.25 Mbps en ascendant.

Merci pour tout.
Serge.

Re: Possible infection

Posté : sam. 10 août 2024 18:53
par did80
Kaspersky m'a averti d'un souci avec Runetime Broker.
quel était le message?

Re: Possible infection

Posté : sam. 10 août 2024 20:20
par Comy
Hello,
Ca n'était pas vraiment un message. Il semblait que kaspersky ne pouvait résoudre le problème.
Ce que j'avais interprété, c'est que Runetime Broker voulait installer des éléments, mais que Kaspersky l'en empêchait.
Les fichiers d'installation qui étaient lancés étaient dans C:\windows\installer il me semble.
L'information n'est plus accessible sur kaspersky, je ne peux pas être certain de ce que j'avance.
Cela pourrait avoir un lien avec mon problème de bande passante ?

Re: Possible infection

Posté : sam. 10 août 2024 21:06
par did80

Re: Possible infection

Posté : dim. 11 août 2024 19:08
par El Magnifico
Hello à vous deux

Courte incruste

Avez vous essayé de vous connecter sur une autre box ( ami, voisin ?) pour verifier si le probléme reste identique.

Essayez ceci:

Pour W10/11 => Gestionnaire des taches / Onglet demarrage => Desactiver tout y compris Kaspersky s'il y a. / Redemarrer le PC

Puis => Desactivez les programmes en arriere plan : » Desactivez ceux qui vous ne semblent pas nécessaires

Si tout est Ok passez au paragraphe suivant

2-Touches Windows + R , tapez ou Copiez / msconfig.exe dans la fenêtre valider par OK / Onglet Services

/!\ Cocher la case en bas « Masquer tous les services microsoft » <= Impératif

puis cliquez sur Desactiver tout / Appliquer / OK / Redemarrer l’ordinateur.

Verifiez la bande passante.

Re: Possible infection

Posté : lun. 12 août 2024 11:39
par Comy
Hello,

Merci El Magnifico de t'incruster :)

J'ai testé ma connexion avec un autre PC (portable). Les vitesses sont moins bonnes qu'avec mon PC fixe, car mon PC portable n'est plus tout jeune. Par contre, je n'ai pas de problème avec l'upload.

Mon PC fixe est équipé d'une carte wifi. J'ai testé et j'ai de très bons résultats :
DESCENDANT Mbps
487.30
ASCENDANT Mbps
463.65

Donc le problème vient de la liaison Ethernet.

Re: Possible infection

Posté : lun. 12 août 2024 12:02
par Comy
J'ai effectué les commandes demandées

A part que je n'ai pas réussi à désactiver kaspersky au démarrage...

Après avoir fait cela, voici les résultats de la bande passante en Ethernet :
DESCENDANT Mbps
796.17
ASCENDANT Mbps
652.81

Bingo ! c'est revenu !
Mais comment savoir de où ça provient ?

Bon, à force de cochage, décochage, redémarrage, ... , j'ai identifié le service qui pose problème :
Il s'agit de :
Service : Killer network Service
Fabricant : Intel

Si je le décoche, je récupère ma bande passante.
Donc, c'est un virus ? ou c'est utilisé par un virus ?

Re: Possible infection

Posté : lun. 12 août 2024 13:09
par El Magnifico
Hello

Bravo, c' est ce qu'il fallait faire

Ce n' est pas un virus.

Voici un lien pour plus d' explications https://www.malekal.com/killer-network-service/

Je vous laisse avec Didier :hello:

:jap:

Re: Possible infection

Posté : mar. 13 août 2024 13:03
par Comy
Salut les amis.

Merci infiniment à vous deux pour votre aide.

Mes problèmes semblent résolus (en tout cas pour l'instant). J'aimerai juste poser une dernière question :
Finalement, c'était un virus ou pas ?

Amitiés.
Serge.

Re: Possible infection

Posté : mar. 13 août 2024 16:55
par did80
le killer network non

pour finir

KpRm (de Kernel-panik)

· Téléchargez sur le bureau

https://toolslib.net/downloads/viewdownload/951-kprm/



· Désactivez temporairement l’ antivirus

· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :

o Supprimer les outils

o Créer un point de restauration

o Supprimer dans 7 jours

https://forum.pcastuces.com/img2/278a79 ... 125f31.png

· Cliquez sur [Exécuter]...

· Un rapport kprm-aaaammjj.txt se trouve sur le bureau

· Hébergez le rapport sur Cjoint

· Donnez le lien créé dans votre réponse.

Re: Possible infection

Posté : mer. 14 août 2024 13:34
par Comy
Bonjour Didier,

Voici le fichier txt : https://www.cjoint.com/c/NHolHFNeh2o

Merci encore.

Re: Possible infection

Posté : mer. 14 août 2024 15:31
par did80
:bonjour:

de rien bonne suite

Re: Possible infection

Posté : jeu. 22 août 2024 14:53
par Comy
Salut les amis,

Je suis un peu dégouté...

Alors que j'étais sur mon navigateur web, mon PC a de nouveau redémarré.

Heureusement, pas de perte de données, mais c'est franchement pas rassurant.

Mon problème n'a finalement pas été résolu. J'y ai cru, puisque j'ai travaillé pas mal sans être ennuyé.

J'hésite à réinitialiser mon PC, c'est tellement long.

J'espère que vous n'avez pas épuisé toutes les solutions possibles....

Re: Possible infection

Posté : mar. 12 nov. 2024 15:14
par did80
:oops: plus de nouvelles