Security-X
Forum Security-X => Désinfections => Discussion démarrée par: almajogo le avril 05, 2019, 19:47:39
-
Bonjour,
J'aurais besoin d'aide svp
Mon PC fixe perso semble avoir un virus, en tout cas fonctionne très très lentement
UC à 100% tout le temps sans aucune application/ programme ouvert
J'ai tenté de me débrouiller seul dans un 1er temps, ai chargé MBAM mais 'unable to connect the service' une fois installé...
Puis avcertclean car j'ai lu que cela pouvait aider quand il y a ce type d'anomalie au lancement...
Au final, que des échecs, je ne suis pas assez calé et je galère alors...une bonne âme?
Merci par avance
-
Bonjour,
Navré pour le temps d'attente !
Nous allons commencer par établir un diagnostic du PC . Pour cela ,
Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)
Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.
Cliquer ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Cliquer ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version de Windows j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
- Cliquer sur le bouton Analyser.
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.
Poster les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Sont attendus les rapports :
frst.txt
addition.txt
-
Bonjour,
Merci beaucoup pour la prise en charge
Norton supprime le .exe, est-ce risqué de télécharger en ayant désactivé Norton au préalable?
-
Bonjour,
L'outil est un outil de diagnostic, il n'y a aucun risque pour votre ordinateur. Vous pouvez donc le télécharger avec votre antivirus désactivé.
Il faudra également veiller à ce qu'il soit désactivé lorsque vous ferez les manipulations afin d'éviter que ce dernier n'interfère avec FRST.
-
Merci
voici les rapports, ne suis pas certain que l'antivirus ne se soit pas réactivé avant la fin du scan
frst.txt > https://up.security-x.fr/file.php?h=Rd850557f9d103df16e3080869803094d
addition.txt > https://up.security-x.fr/file.php?h=R86f972a9661c81aa55ec2935c9e8888a
Dois-je relancer?
Quelques infos supplémentaires: entre le moment où j'ai posté mon 1er message et aujourd’hui, j'ai essayé de trouver des solutions à mon problème (mes problèmes?)
J'ai donc usé de ZHPCleaner, Roguekiller, et ai réalisé un scan en ligne avec ESET
-
Rebonjour,
Il est très dangereux de passer des outils que l'on ne connaît pas sur sa machine. Il vaut mieux venir nous demander conseil (bien qu'on ait un peu tarder à répondre !)
Si les outils que tu as utilisé ont généré des rapports, je les veux bien stp !
A première vue, pas d'infection sur ta machine, beaucoup de films téléchargés illégalement en revanche (ce comportement est à risque pour ton ordi).
Je pense que Norton prend énormément de ressources et que c'est lui qui ralentit énormément ton PC. Ce qui m'interpelle, c'est que tu me dis que tu as un "Unable to connect the service" lorsque tu lances MBAM, as-tu essayé avec Norton désactivé ? C'est sûrement lui qui bloque MBAM.
Au plaisir de te relire !
:AAN
-
-
-
Bonjour,
C'est un peu comme une voiture, je dois tourner la clef et hop, ça tourne, sinon...ça me tape vite sur le système!
Je sais, c'est pas bien, et j'me soigne :P
Je connaissais déjà ZHPCleaner et ZHPDiag, mais dans le cas présent ZHPDiag débute et un message d'anomalie apparait très rapidement en cours; validé ce message stoppe le scan... :(
Ici deux rapports ZHPCleaner
https://up.security-x.fr/file.php?h=R25b85845a01cb90493af071792d34572
https://up.security-x.fr/file.php?h=Rc7755012f2a5e0505f1c5198bf6cd5a2
Ici un rapport AVCertClean
https://up.security-x.fr/file.php?h=Rf410b3a04babd5570912659c18744f3a
Sur ton conseil, je tente à nouveau de lancer MBAM du bureau, en tant qu'administrateur, pare-feu et auto-protect Norton désactivés; ça ne démarre toujours pas, même message d'anomalie.
Je ne cesse de consulter le gestionnaire de tâches Windows et pour un rien l'explorer.exe explose tout et met l'UC à 100%
Après avoir consulté différents forums avec "UC 100%", je fais le lien aussi entre explorer.exe et un fichier son Wave que je n'arrive ni à shooter ni à déplacer sans que le système tourne en boucle...
Est-ce un fichier corrompu, un virus?
Est-ce l'origine du problème?
Si j'arrête le processus explorer.exe, plus de fenêtres apparentes sur le bureau (normal visiblement), suis contraint de fermer/ ré ouvrir la session.
Là je retrouve une performance "quasi normale".
A cet instant j'écris, l'UC est encore au max, toujours explorer.exe ...pourtant seuls firefox et gestionnaire sont ouverts.
Norton accaparerait toute cette ressource? mais pour quelle raison? je n'avais pas ce souci auparavant.
Si tel est le cas, comment y remédier?
Merci beaucoup pour le support
-
Bonjour,
Merci pour l'indice du fichier wav que tu n'arrives ni à ouvrir ni à supprimer. J'ai peut être trouvé une piste.
Peux-tu ouvrir le bloc-notes de ton ordinateur (touche windows + R -> et saisi "notepad" puis appuie sur Entrée).
Colle exactement ceci dedans :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.wav]
@="{#e46787a1-4629-4423-a693-be1f003b2742}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.wav]
@="{#e46787a1-4629-4423-a693-be1f003b2742}"
Enregistre le sur ton Bureau sous le nom de "Desactiver-Meta-Reading-Wav.reg" --> le .reg est très important !
Double clique sur le fichier que tu viens de créer sur ton bureau, répond "Oui" au message qui apparaît à l'écran (ou autoriser).
Une fois fait, il faut redémarrer le PC. Dis-moi si tu vois une amélioration !
-
Ton anniversaire aujourd'hui??
Ai vu un calendrier avec "prochain évènement", mais suis pas certain...
ok, je me lance sur "l'opération Wav"
ah j'oubliais...dans le genre "pistes", si ça peut aider:
Le ventilateur de l'UC tourne assez fort aussi
La mémoire dans gestionnaire me semble assez haute ( > à 2Go)
Dans la liste Processus/ Mémoire (jeu de travail privé), à cet instant où j'écris, sont 'taquets' firefox.exe et svchost.exe
a tout de suite
-
ça y est, ai tout fait comme indiqué...et cela semble bien plus "fluide" !
J'ai pu supprimer le fichier WAV sans aucun problème :)
La courbe de l'UC n'est pas saturée au max et oscille bien plus qu'auparavant, voire très erratique mais n'excède pas 20-30%
La mémoire physique reste élevée
Dans les processus, la liste est moins longue et plus de svchost.exe (c'était quoi ce truc?!)
explorer.exe semble avoir trouvé un 'rythme normal' ;P
Le ventilo ne s'emballe pas
Je lancerai bien MBAM rien que pour le fun, juste pour voir si la situation le permet maintenant, non?
-
Bon ben, MBAM ne veut définitivement pas démarrer...
Une idée sur ce point?
Le PC semble être ok avec cette manip dans le registre.
Si pas trop complexe pour un ignare comme moi, qu'avons nous réalisé en fait?
-
:AAC
Ton anniversaire aujourd'hui??
Ai vu un calendrier avec "prochain évènement", mais suis pas certain...
En effet oui ! :)
Bon ben, MBAM ne veut définitivement pas démarrer...
Une idée sur ce point?
Le PC semble être ok avec cette manip dans le registre.
Si pas trop complexe pour un ignare comme moi, qu'avons nous réalisé en fait?
Pour MBAM, peux-tu appuyer sur les touches Windows + R et taper services.msc puis valider par Entrée ?
Regarde si tu trouves le service nommé Malwarebytes Service. Vérifie que ce service est bien démarré (tu devrais voir "En cours d'exécution" dans la colonne "État"). S'il n'est pas démarré, clique droit sur le nom du service puis clique sur Démarrer.
Si le service Malwarebytes n'est pas présent, je t'invite à désinstaller MBAM et à le réinstaller depuis ce lien (https://fr.malwarebytes.com/mwb-download/thankyou)
Pour la manip dans le registre, le problème était dû au fait que l'explorateur Windows peut parfois partir en boucle infinie s'il n'est pas capable de décoder un fichier wav correctement, on a juste empêché windows d'essayer de décodé les méta-données des fichiers wav pour qu'il puisse s'occuper d'autre chose plutôt que de rester bloquer sur ce fameux fichier!
J'ai vu qu'un outil a détecté que tu avais avast antivirus avant ? Cela fait longtemps que tu es passé à Norton ?
:AAN
-
Salut
Désolé pour l'interruption, fin de semaine compliquée
Bon anniv' alors!!! :)
Ai vérifié comme indiqué, "MBAMService" bien listé:
Description = colonne vide, État = idem, Type de démarrage = "Manuel", Ouvrir une session en tant que = "système local"
Click droit, démarrer, message suivant: "Windows n'a pu démarrer le service MBAMService sur ordinateur local.
Erreur 1068, le service ou le groupe de dépendance n'a pu démarrer"
Ai donc désinstallé puis réinstaller via ton lien, en ayant auparavant déplacé le .exe de téléchargement vers bureau (ne sais pas si donnée importante)
Nouvelle tentative, en vain, ça ne mord pas, avec et sans Norton. Dingue cette histoire!
Merci pour l'explication de texte :)
Je comprends donc qu'il ne s'agit pas d'un fichier corrompu/ virusé, mais d'un dysfonctionnement potentiel/ aléatoire de Windows?
J'ai utilisé Avast au tout début mais ça remonte maintenant; je dois être sur Norton depuis approx 3-4 ans.
Concernant l'échec de MBAM, faut-il faire le lien avec les échecs récurrents de mises à jour Windows?
Aujourd'hui encore sur les update proposés, seul un est passé (KB4041083); nombre de KB.... échouent à chaque fois :(
En l’occurrence cette fois-ci > KB3140245, 3159398, 3161949, 4493472, 3133977, 4049016, 4483187
-
:AAC
Merci !
Désolé pour le délai de réponse, je ne suis pas chez moi cette semaine, ça va être compliqué pour moi de te répondre rapidement !
Je penche plus pour un soucis avec windows, on va regarder ça !
Ouvre le menu démarrer, tape cmd dans la barre de recherche.
Clique droit sur invite de commandes et clique sur exécuter en tant qu'administrateur .
Dans la fenêtre noire qui s'ouvre, copie et colle ceci : sfc /scannow et appuie sur entrée.
Laisse l'ordinateur travailler. Une fois terminé, peux-tu me fournir le fichier se trouvant sous C:\Windows\logs\cbs\cbs.log
-
Salut
Bien les œufs de Pâques !? :p
Le scan s'est terminé par "Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité"
Voici le fichier en question. 10MB > hébergement Malekal. Pas de password utilisé, faut-il dans ce cas?
https://pjjoint.malekal.com/files.php?id=20190423_o128m10v7j5
Petite question en parallèle.
Je peux bien jeter tout les rapports fournis précédemment, le 'meta-reading' et les exécutifs également?
(quoique le 'meta-reading' m'ayant bien sauvé...je l'aurais bien gardé dans un coin ;) )
Merci
-
:AAC
Bien les œufs de Pâques !? :p
J'ai passé l'âge :hi: et toi ?
Pas de password utilisé, faut-il dans ce cas?
Non pas besoin de mettre de mot de passe ;)
Petite question en parallèle.
Je peux bien jeter tout les rapports fournis précédemment, le 'meta-reading' et les exécutifs également?
(quoique le 'meta-reading' m'ayant bien sauvé...je l'aurais bien gardé dans un coin ;) )
Pour l'instant, on va garder, on jettera à la fin quand tout sera rentré dans l'ordre :)
On va essayer autre chose pour voir :
Ouvre le menu démarrer, tape cmd dans la barre de recherche.
Clique droit sur invite de commandes et clique sur exécuter en tant qu'administrateur.
Dans la fenêtre noire qui s'ouvre, copie et colle ceci : chkdsk /F C: et appuie sur entrée. Si une question te demande si tu veux vérifier le disque au prochain redémarrage, dis Oui.
Redémarre ton ordinateur et laisse le check s'effectuer.
Une fois ton ordinateur redémarré, est ce que tu peux réessayer de lancer MBAM avec Norton désactivé ? Est-ce que ça fonctionne ?
Peux-tu essayer de télécharger manuellement la mise à jour pour Windows 7 pour ordinateurs à processeur x64 (KB3140245) sur le site de microsoft (https://www.catalog.update.microsoft.com/search.aspx?q=kb3140245) et double cliquer sur le fichier téléchargé pour lancer l'installation ?
Cette dernière a-t-elle réussie ?
:AAN
-
Ola
Pour la chasse aux œufs, effectivement, c'est du Passé. Mais pour les chocolats... :P
Après cmd + chkdsk /F C: voici le message suivant obtenu:
"le type du systime de fichiers est NTFS
Impossible de verrouiller le lecteur en cours
CHKDSK ne peut pas s’exécuter parce que le volume est utilisé
par un autre processus. Voulez-vous que ce volume soit vérifié au prochain redémarrage du systime?
> O
ce volume sera vérifié au prochain redémarrage du systime
Redémarrage su système, le check est finalisé.
3 étapes, p
-
1ère étape:
De nombreux enregistrements de fichiers traités
> 0 incorrects, 0 EA, 48 enregistrements de fichiers d'analyse traités
2nd étape:
Vérification des index
> 0 fichier en index analysés, 0 récupérés
3ème étape:
Descripteur de sécurité
> c'est allé trop vite pour que déchiffre quoi que ce soit! :))
La tentative MBAM (avec auto-protect et pare-feu désactivés) a échoué de nouveau; même message d'anomalie
Ai ensuite chargé la mise à jour Windows 7 pour ordinateurs à processeur x64 (KB3140245) avec succès
-
Bonjour !
Bien, on va tenter de réparer windows update !
Télécharge l'archive contenant le correctif windows update de Malekal (https://www.malekal.com/download/reparer-windows-update.cmd.zip) puis, extrait le fichier "réparer-windows-update" sur ton bureau.
Clique droit sur ce dernier et clique sur "Exécuter en tant qu'administrateur"
Laisse l'outil travailler et redémarre l'ordinateur lorsqu'il y a marqué "Veuillez redémarrer l'ordinateur" dans la fenêtre noire.
Une fois que l'ordinateur a été redémarré, essaye de refaire les mises à jour via windows update : est-ce que leur installation fonctionne désormais ?
-
Hello!
Correctif appliqué, l'ordinateur a été redémarré une fois invité à le faire, cependant les mises à jour importantes et/ou recommandées ont échouées.
La liste:
Mise à jour pour Windows (KB3133977)
Mise à jour pour Windows 7 pour ordi à processeur x64 (KB3133977)
2019-4 correctif cumulatif mensuel de qualité pour Windows 7 pour les systèmes basés sur x64 (KB4493472)
Mise à jour de sécurité pour Windows 7 pour ordi à processeur x64 (KB3161949)
Mise à jour de sécurité pour Windows 7 pour ordi à processeur x64 (KB3159398)
J'ai par la suite tenté les maj facultatives; sur 6, trois réussites et trois échecs.
Windows update me propose donc les mêmes maj...
Suis désolé. est-ce peine perdue?
-
:AAC
Hé bien ! Il est corriace cet ordinateur ::)
On va tenter autre chose !
Windows Repair :
- Télécharge et installe Windows Repair (https://telecharger.malekal.com/download/windows-repair/)
Nous allons redémarrer ton ordinateur en mode sans échec. Je te conseille de prendre des notes ou d'imprimer ce message au cas où tu ne puisses pas retourner sur cette page une fois en mode sans échec.
- Une fois le logiciel installé, tu devrais avoir une petite caisse rouge en bas à droite, à côté de l'heure. Clique droit dessus puis clique sur Reboot to Safe Mode
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimage.noelshack.com%2Ffichiers%2F2019%2F19%2F1%2F1557134725-windows-repair1.png&hash=a9d80e1bd145b19bc7c62760a3ace02be59d824d)
Ton ordinateur devrait redémarrer en mode sans échec. Une fois cela fait, ouvre Windows Repair depuis l'icône sur le Bureau.
Une fois le logiciel ouvert, dirige-toi dans l'onglet Repairs - Main puis clique sur Preset: Windows Updates
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimage.noelshack.com%2Ffichiers%2F2019%2F19%2F1%2F1557134915-windows-repair2.png&hash=02cc3abc1bf2e49229033841fda294a48f905ff4)
Clique ensuite sur Start Repairs en bas à droite. Laisse l'outil tourner, ne l'interrompt pas car cela pourrait causer des dommages à ton système
Des fenêtres noires vont apparaître puis disparaître, ne t'en fais pas, c'est tout à fait normal :QQQ
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fimage.noelshack.com%2Ffichiers%2F2019%2F19%2F1%2F1557135049-windows-repair3.png&hash=e38d5a2c5ac158f7c1eaf22a0e14f66a4cf066c3)
Une fois les réparations terminées, le logiciel te demande si tu veux redémarrer l'ordinateur. Répond Yes.
Une fois ton pc redémarré, fourni mois les rapports Repair_Windows_Update.txt et _Windows_Repair_Log.txt se trouvant dans le dossier :
C:\Program Files(x86)\Tweaking.com\Windows Repair (All in One)\Logs\DD_MM_YYYY_HH_MM_SS ou C:\Program Files\Tweaking.com\Windows Repair (All in One)\Logs\DD_MM_YYYY_HH_MM_SS
:AAN
-
Hello
Coriace en effet. Merci pour ta pugnacité :)
J'ai réalisé le process Windows Repair, voici les rapports:
https://up.security-x.fr/file.php?h=R5bb7b9ff84e2e87b293b0dd18a123c92
https://up.security-x.fr/file.php?h=R003fe0f37520047a0419ca80243099b2
c'est grave doc'? ;)
-
:AAC
Peux-tu réessayer de faire des mises à jour via Windows Update ?
Si cela ne fonctionne toujours pas, as-tu déjà songé à mettre à jour ton PC vers windows 10 ? Pour information, le support de windows 7 par Microsoft s'arrête le 14 janvier 2020, il n'y aura donc plus de mises à jour de sécurité pour cet OS et donc il sera plus vulnérable.
:AAN
-
bonjour,
mes excuses pour cette réponse tardive.
nouvelle tentative de mise à jour Windows update, en vain
seul l'outil de suppression de logiciels malveillants Windows x64 est une "réussite"
j'avais testé la migration au tout début alors que le retour en arrière était possible (phase de test?) et ce n'était pas top...
mon pc date un peu, est-ce judicieux ou faut-il carrément changer de matériel?
quels enseignements faut-il tirer des rapports Windows repair que j'ai livré?
merci
-
:AAC
On va tenter d'installer manuellement les MàJ qui ne passent pas, et on verra si les prochaines MàJ passent ou non...
Pour télécharger la MàJ KB3133977 clique ICI (https://download.microsoft.com/download/A/A/E/AAEDFBF8-C0F0-4B17-ADA7-FEA3886E7B5E/Windows6.1-KB3133977-x64.msu)
Pour télécharger la MàJ KB3161949 clique ICI (http://download.windowsupdate.com/c/msdownload/update/software/secu/2016/05/windows6.1-kb3161949-x64_e2372fb5746e9474cec6ef1710f8d58ec5c6c000.msu)
Pour télécharger la MàJ KB3159398 clique ICI (http://download.windowsupdate.com/d/msdownload/update/software/secu/2016/05/windows6.1-kb3159398-x64_dc2b2c11af4b38b0b632bd7f6d683d57a93b711c.msu)
Pour télécharger la MàJ KB4493472 clique ICI (http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/04/windows6.1-kb4493472-x64_8c89a0b8b74adf3630301e9ff4c071ff56644014.msu)
Concernant la mise à jour windows 10, je sais que j'avais eu le cas avec un ordinateur où c'était très lent après la mise à jour. Il fallait juste attendre que les accès disques se terminent pour retrouver un ordinateur utilisable. Peut-être est-ce également ton cas, car windows 10 devrait passer sans soucis sur ta machine !
Windows Repair a tenté de réparer windows update, mais je vois que tu as beaucoup de mises à jour de 2016 qui ne sont pas passées, alors on va tenter de les installer manuellement et on verra par la suite, je croise les doigts :III
:AAN
Pour télécharger la MàJ KB4493472 clique ICI (http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/04/windows6.1-kb4493472-x64_8c89a0b8b74adf3630301e9ff4c071ff56644014.msu)