Problème virus EBP ?

[PixeL]

Bonjour,

(la thématique virus et pourquoi j'envoie ce message dans cette catégorie prendra son sens avec la description du problème)

Après m'avoir bien aidé avec un souci de virus en janvier, je sollicite à nouveau votre aide pour le PC d'un ami qui ne parvient plus à ouvrir sa comptabilité sur EBP, je sèche complètement

Voici le message à l'ouverture du logiciel :

Impossible-charger-fichier-ou-assembly.png

Ne sachant pas trop où chercher et ne comprenant pas trop le message d'erreur, j'ai commencé par essayé de réparer le logiciel : KO : problème avec "Framework", j'ai alors pensé aux .NET Framework.
Il s'agit d'un PC sous W7 où a été installé en 2013 .NET Framework 4.5 depuis mis à jour en 4.7 et 4.8.
Désinstallation OK, réinstallation KO, : "déjà installé" (quelle que soit la version).
C'est alors qu'Avira (antivirus crédible à l'époque de l'installation du PC) se déclenche et m'informe d'une identification positive.
J'essaye un scan : KO (erreur d'Avira).
J'essaye de désinstaller Avira : KO, désinstallation forcée : KO.

C'est finalement avec RogueKiller que je trouverais 6 résultats positifs, tous appelés "optipng.exe", dont 3 logés dans un répertoire d'EBP.

analyse-roguekiller.png

J'aimerais avoir de l'aide afin de supprimer ce "virus" (?) et supprimer Avira par la même occasion (déjà essayé les Uninstall Tool ou autres Revo Uninstaller).

A ce titre j'ai généré les 3 fichiers de FRST :
FRST : https://pjjoint.malekal.com/files.php?r ... 5k12k14q11
Addition : https://pjjoint.malekal.com/files.php?r ... b7k13x14n7
Shortcut : https://pjjoint.malekal.com/files.php?r ... r8s5o14x13

Je vous remercie par avance, et vous souhaite bonne continuation.

[angelique]

Shalom/Salam

Si sans avira et vire rogue killer ça fonctionne, alors laisse EBP fonctionner correctement.

Le W7 est obsolète, ça doit être une machine pro entrepreneur qui ne veut pas investir.

Après le eBP doit être aussi obsolète, faut faire des sauvegarde de sa comptabilité, mais EBP est complexe à migrer.

[PixeL]

Bonjour angelique,

Merci pour ta réponse si rapide !
Alors 1er problème je n'arrive pas à enlever Avira, c'est ma 2e demande après l'éradication du virus.
Le W7 est obsolète pas de doute, et c'est bien un PC pro qui porte une comptabilité (pour laquelle on souhaite récupérer l'accès).

Le 2e problème est qu'EBP ne s'ouvre plus (voir 1er screenshot).
Le EBP est obsolète aussi, W7 installé en 2013 et EBP 2013 migré en 2014.
C'est un PC que j'ai installé moi-même il y a maintenant 11 ans.

Mon ami n'a rien contre investir, au contraire, mais comme le dit l'adage "tant que ça fonctionne".
Je suis même surpris de sa réactivité vu la config de base (Pentium/2Go) et le fait qu'il tourne depuis 11 ans sans réinstallation.

Je souhaite me débarrasser du virus et d'Avira afin de creuser le problème d'EBP par la suite.

Merci d'avance.

[Malekal_morte]

Bonjour,

Si la personne n'a jamais fait de sauvegarde, fais en.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2024-02-24 11:47 - 2014-03-13 14:43 - 000000000 __HDC C:\ProgramData\{B00EE442-A49B-48EB-B384-C13382B20ABB}
Task: {BF9B33F7-73A9-4ACA-B0F5-9487898BD51F} - System32\Tasks\Avira_Security_Installation => C:\Users\Francisco\AppData\Local\Temp\.CR.21112\Avira.Spotlight.Bootstrapper.Runner.exe  -> "C:\Users\Francisco\AppData\Local\Temp\.CR.21112\avira_fr_sptl1_1435473173-1708942942__adwb.exe" RunMode=Resume <==== ATTENTION
Task: {90003988-4BAF-41E3-A618-2D4F7D83096E} - System32\Tasks\Avira_Security_Update => C:\Windows\system32\net.exe [55808 2009-07-14] (Microsoft Windows -> Microsoft Corporation)
R2 AviraSecurity; C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.exe [268600 2024-01-16] (Avira Operations GmbH -> Avira Operations GmbH)
S2 AviraSecurityUpdater; C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Common.Updater.exe [298400 2024-01-16] (Avira Operations GmbH -> Avira Operations GmbH)
R2 EndpointProtectionService; C:\Program Files\Avira\Endpoint Protection SDK\endpointprotection.exe [8930944 2023-01-31] (Avira Operations GmbH -> Avira Operations GmbH)
S3 EndpointProtectionService2; C:\Program Files\Avira\Endpoint Protection SDK\endpointprotection.exe [8930944 2023-01-31] (Avira Operations GmbH -> Avira Operations GmbH)
R1 BdSentry; C:\Windows\System32\DRIVERS\BdSentry.sys [219448 2023-01-26] (BullGuard LTD -> Avira Operations GmbH)
R1 netprotection_network_filter; C:\Windows\System32\drivers\netprotection_network_filter.sys [92416 2023-01-21] (Avira Operations GmbH -> Avira Operations GmbH)
R2 rtp_filesystem_filter; C:\Windows\System32\DRIVERS\rtp_filesystem_filter.sys [230408 2023-01-30] (Avira Operations GmbH -> Avira Operations GmbH)
R1 rtp_process_monitor; C:\Windows\System32\DRIVERS\rtp_process_monitor.sys [224512 2023-01-30] (Avira Operations GmbH -> Avira Operations GmbH)
R1 rtp_traverse; C:\Windows\System32\DRIVERS\rtp_traverse.sys [62632 2023-01-30] (Avira Operations GmbH -> Avira Operations GmbH)
2024-02-26 11:48 - 2024-02-26 11:48 - 000003440 _____ C:\Windows\system32\Tasks\Avira_Security_Installation
2024-02-26 11:22 - 2024-02-26 11:22 - 006768568 _____ (Avira Operations GmbH) C:\Users\Francisco\Downloads\avira_fr_sptl1_1435473173-1708942942__adwb.exe
2024-02-26 10:48 - 2024-02-26 11:04 - 000000000 ___SD C:\a
2024-02-26 10:26 - 2024-02-26 10:27 - 000000000 ____D C:\Users\Francisco\Desktop\Revo Uninstaller Pro 5.2 Win  x32x64 Multi + Crack + Portable
2024-02-25 14:54 - 2023-01-21 10:46 - 000092416 _____ (Avira Operations GmbH) C:\Windows\system32\Drivers\netprotection_network_filter.sys
2024-02-25 14:53 - 2023-01-31 10:26 - 000180360 _____ (BullGuard Ltd.) C:\Windows\system32\Drivers\BdNet.sys
2024-02-25 14:53 - 2023-01-30 15:23 - 000230408 _____ (Avira Operations GmbH) C:\Windows\system32\Drivers\rtp_filesystem_filter.sys
2024-02-25 14:53 - 2023-01-30 15:23 - 000224512 _____ (Avira Operations GmbH) C:\Windows\system32\Drivers\rtp_process_monitor.sys
2024-02-25 14:53 - 2023-01-30 15:23 - 000062632 _____ (Avira Operations GmbH) C:\Windows\system32\Drivers\rtp_traverse.sys
2024-02-25 14:53 - 2023-01-26 15:06 - 000219448 _____ (Avira Operations GmbH) C:\Windows\system32\Drivers\BdSentry.sys
2024-02-24 23:19 - 2024-02-24 23:19 - 000000000 ____D C:\Windows\system32\Tasks\Avira
2024-02-25 15:24 - 2013-04-25 20:46 - 000000000 ____D C:\Program Files (x86)\Avira
2024-02-25 14:53 - 2022-06-29 11:26 - 000000000 ____D C:\Program Files\Avira
2024-02-25 14:53 - 2013-04-25 20:46 - 000000000 ____D C:\ProgramData\Avira
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Important :

Le contenu de la correction ne doit pas être vide et doit refléter le script donné précédemment.
Dans le cas où la correction est vide, essaye de faire la correction FRST comme ceci :

Place le programme FRST sur le bureau
Ouvre le bloc-note.
Colle le script donné plus haut.
Enregistre le fichier sur le sur le bureau de Windows (pas ailleurs) sous le nom de fixlist.txt.
Relance FRST puis Corriger.


~~

Le fond du problème des plantages d'EPB peut venir de là :

Error: (03/06/2024 10:57:45 AM) (Source: Ntfs) (EventID: 55) (User: )
Description: La structure du système de fichiers sur le disque est endommagée et inutilisable.
Exécutez l’utilitaire chkdsk sur le volume \Device\HarddiskVolumeShadowCopy1.

~~

Faire un checkdisk / chkdsk :

Menu "Démarrer → dans la barre blanche de "Rechercher"
Saisir "cmd" > clique-droit sur cmd.exe puis "Exécuter en tant qu'Administrateur"
Dans la fenêtre invite de commandes qui s'ouvre saisir chkdsk C: /F /R

Tape sur la touche entrée, il va te demander si tu veut le faire au redémarrage, tape o (oui), tape sur entrée et redémarre, au redémarrage un écran bleu va s'afficher avec "étape 1 sur 5"..., c'est normal ! Et il va rester ainsi d'étape en étape durant 1h ou 2h. C'est long mais nécessaire pour effectuer toutes les vérifications.

Voir ce tutoriel pour les détails : Faire un chkdsk pour réparer les erreurs de disques.

Eventuellement, lire : Réparer les secteurs défectueux sur un disque dur
Mais il faudra probablement changer le disque à terme.

et :

Vérifie l'état et la santé du disque dur/SSD avec CrystalDiskInfo.
Le but de savoir si le statut est correct ou Prudence, tout en ayant des informations détaillées.
Passe l’affichage en décimale avec CrystalDiskInfo. Cela se fait, depuis le menu Fonctions > Fonctionnalités Avancées > Valeurs brutes > 10 [DEC] – 1 byte.

Donne une capture d'écran si possible en voyant les valeurs les valeurs "Cx".

[PixeL]

Bonjour Malekal_morte,

Ta correction a réussi à me débarrasser d'Avira, merci beaucoup !
Voici le fichier Fixlog : https://pjjoint.malekal.com/files.php?r ... o7g15x5c11
Je te laisse néanmoins y jeter un oeil car j'y ai vu pas mal d'"Accès refusé", mais je ne sais pas comment fonctionne FRST, si c'est normal ou non.

En voulant supprimer le dossier "C:\FRST" comme tu m'avais dit de le faire la dernière fois, j'ai le fichier "C:\FRST\Temp\HeciServer.exe.1BD96C4944E3CC46B34B76651080A261" qui ne veut pas se laisser faire :


----------------------------------------------------------------------------------------------------

Ensuite, j'ai fait le check disk : https://pjjoint.malekal.com/files.php?r ... 11z9n13f14
Il y avait effectivement des erreurs sur le système de fichiers, je ne pensais pas en arriver là...
J'ai néanmoins trouvé ça bizarre que le rapport ne soit pas complet...

J'ai par la suite fait la vérification demandée avec CrystalDiskInfo, j'espère que mon screenshot montrera ce que tu cherchais à voir car je n'ai pas trouvé "Cx", j'espère que ce sont les sous-parties de "C0" à "CF" dont tu parlais :


----------------------------------------------------------------------------------------------------

Vu que le rapport du chkdsk n'était pas complet, j'en ai fait un second : https://pjjoint.malekal.com/files.php?r ... 0q10k14c11, qui lui est complet cette fois-ci.

Je reste attentif à ton retour et te remercie à nouveau

[Malekal_morte]

ok ça semble pas mal.
Supprime C:\FRST en mode sans échec : Comment démarrer en mode sans échec de Windows

[PixeL]

Bonjour Malekal_morte,

Je verrai pour supprimer le dossier en mode sans échec à mon prochain passage chez mon ami (nous n'habitons pas à proximité l'un de l'autre et je ne suis pas sûr de pouvoir lui demander ce genre de manipulation).
Pour reprendre le problème initialement énoncé, Avira est dégagé, les erreurs de disque sont corrigées, mais EBP ne s'ouvre malheureusement toujours pas, le message d'erreur de mon post initial reste inchangé.
As-tu une idée de ce côté là stp ?

D'avance merci encore... !

[Malekal_morte]

De ce que je comprends de l'erreur, c'est qu'il ne trouve pas un assembly de .NET Framework.
Je ne connais pas ce EBP mais si c'est un vieux programme qui n'est plus maintenu, faut pas s'étonner que ça ne fonctionne plus très bien sur les nouvelles versions de Windows.
S'il est toujours maintenu, tu as contacté le support du logiciel ?
Sinon quels sont les prérequis de ce logiciel ? Faut .NET Framework 3.5 ?