Demande d'aide pour supprimer un virus - Recherche locale et Bing ne fonctionnent plus [Résolu]

[Briearos]

Bonjour,

Je sollicite le forum car je suspecte un virus de bloquer mes saisies au clavier (uniquement dans les zones réservées au système : clé Wifi, zone de recherche...).
J'ai utilisé RogueKiller, AdwCleaner, Malewarebytes, ZHPCLeaner, mais le problème persiste.

Voici les liens menant aux rapports de FRST :

https://pjjoint.malekal.com/files.php?i ... 1p11v5y9r9 -> FRST
https://pjjoint.malekal.com/files.php?i ... 5y8h9r15o7 -> Addition
https://pjjoint.malekal.com/files.php?i ... u10o6k8i15 -> Shortcut

J'espère ne pas avoir à formater...
Merci d'avance.

[Parisien_entraide]

Bonsoir

Malekal ou Angélique te diront ce qu'il en est mais en plus de la liste que tu as donné j'ai noté "SuperAntiSpyware"
Lui par contre était déjà en place, mais tu as AVIRA et ses protections contre les saisies au clavier (Si je simplifie cela agit comme un brouilleur pour certaines actions, comme lorsque tu entres un numéro de carte bancaire par ex, et qui intercepte en mémoire la frappe)

Donc la cause pourrait se trouver avec AVIRA et ses modules et/ou SuperAntispyware (faut éviter de cumuler)
Tu ne parles pas des résultats d'analyses de tout ce que tu as passé

Mais cela te sera confirmé ou pas :-)

[angelique]

Bonjour/Bonsoir/Salam/Shalom


Désinstalle via exécuter ➮ appwiz.cpl

SUPERAntiSpyware

RogueKiller version 15.16.1.0


Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix

Un redémarrage peut être nécessaire, ne touche à rien et accepte le redémarrage

Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Briearos]

Merci pour votre réactivité !

Je n'ai pas accès au système de cmd, j'ai donc désinstallé manuellement via paramètres/ applications...
Le problème semble persister.

Voici le contenu du Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 22.05.2024 01
Exécuté par Martine (23-05-2024 20:28:42) Run:1
Exécuté depuis C:\Users\Martine\Desktop
Profils chargés: Martine
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Avast Cleanup Premium.lnk.disabled [2018-02-17]
ShortcutTarget: Avast Cleanup Premium.lnk.disabled -> C:\Program Files (x86)\AVAST Software\Avast Cleanup\TuneupUI.exe (Pas de fichier)
GroupPolicy-Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
RemoveProxy:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Avast Cleanup Premium.lnk.disabled => déplacé(es) avec succès
"C:\Program Files (x86)\AVAST Software\Avast Cleanup\TuneupUI.exe" => non trouvé(e)
C:\Program Files\Mozilla Firefox\distribution\policies.json => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\netprotection_network_filter2 => impossible à supprimer. Accès refusé.

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{DA18917D-45D9-4301-B164-84AC2389F6F3} => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1013602237-1569679266-21704666-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1013602237-1569679266-21704666-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27742014 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 12500 B
Windows/system/drivers => 586103040 B
Edge => 0 B
Chrome => 34918314 B
Firefox => 18921637 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 20 B
systemprofile32 => 20 B
LocalService => 61146 B
NetworkService => 56003258 B
Martine => 592252286 B

RecycleBin => 48620272 B
EmptyTemp: => 1.3 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 23-05-2024 20:39:36)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\System\CurrentControlSet\Services\netprotection_network_filter2 => impossible à supprimer. Accès refusé.

==== Fin de Fixlog 20:39:37 ====

[Malekal_morte]

Au final, pas infecté.
A désinstaller Avira - Laisse Windows Defender plus léger.
Ca ne sert à rien d'utiliser AdwCleaner et ZHPCleaner si tu n'as pas de pubs intempestives.

[Briearos]

Merci pour ces recommandations.
J'ai désinstallé Avira, mais le problème persiste.
Si ce n'est pas un virus, qu'est-ce qui provoque ce dysfonctionnement d'après vous ?

[Parisien_entraide]

Bonjour

Tu as désinstallé AVIRA avec quoi ?
Il faut savoir qu'AVIRA laisse pas mal de modules (dont dans les navigateurs par ex), de fichiers, clés de registre lors d' une désinstallation "classique)
C'est pour cela qu'il faut utiliser des outils comme Revo Uninstaller, Geek Unistaller, pour tout virer

Ensuite le "

bloquer mes saisies au clavier (uniquement dans les zones réservées au système : clé Wifi, zone de recherche...)."

C'est.. Vague du moins lorsque tu parles de "zones reservées au système" et de clé wi fi par ex
Tu pourrais indiquer ce que tu fais précisément ?

Refais une analyse FRST pour voir ce qui traine encore

[Briearos]

Je suis passé par les paramètres/applications pour désinstaller Avira. Revo et Geek Uninstaller ne voit pas de traces d'Avira.

Concernant la saisie, je ne peux rien écrire dans la zone de recherche à côté du logo Windows, ni rentrer de clé Wifi afin de me connecter à un réseau détecté.

Voici le résultat de la dernière analyse réalisée avec FRST :

https://pjjoint.malekal.com/files.php?i ... f6p9w14x12 -> FRST
https://pjjoint.malekal.com/files.php?i ... p8k6e8p5s6 -> Addition
https://pjjoint.malekal.com/files.php?i ... q11g11q5t9 -> Shortcut

[Parisien_entraide]

Déjà il faut savoir que le simple fait que Bing soit hors service empêche la recherche
On peut basculer sur Cortana (si tu ne l'as pas désactivé) provisoirement (il y a des fichiers d'activation/désactivation dans le lien ci dessous)

https://www.malekal.com/barre-recherche ... onne-plus/

Par ex hier BING était hors service et cela affectait non seulement BING mais d'autres programmes
https://www.malekal.com/barre-recherche ... onne-plus/

Si ton soucis n 'est pas lié à cette panne, normalement la recherche aujourd hui avec Bing doit être possible mais je suppose que tu as testé

Sinon dans le tuto il y a par ex l'histoire du service à activer, "Service du clavier tactile et du volet d’écriture manuscrite" mais cela dépend de pas mal d'autres choses
Perso chez moi le service est désactivé mais je peux utiliser la recherche en locale (et en plus j'ai viré Cortana) mais je n'utilise pas Bing pour la recherche (je l'ai viré avec Edge) et Windows search n'est pas activé non plus, ce qui a une incidence


Edit :
Dans les navigateurs il reste des modules complémentaires d'AVIRA
Sinon si tu as utilisé REVO ou Geek Uninstaller, APRES avoir désinstallé, ils ne trouveront rien et c'est normal puisque l'appli AVIRA disparu

[Malekal_morte]

A tester : créer un nouvel utilisateur administrateur local (pas un compte Microsoft) et voir si cela fonctionne dessus, voir la page : Comment ajouter un utilisateur sur Windows
Vois ce que cela donne aussi.

[Briearos]

Merci beaucoup de m'avoir aiguillé sur la bonne piste.
En activant le Service du clavier tactile et du volet d’écriture manuscrite, je constate que le problème est résolu.
Très belle fin de journée à vous.

[Parisien_entraide]

Et bien si tout refonctionne tant mieux :-)

Je passe le sujet en résolu

[litch2235]

Bonjour,

Je suis également en difficulté. Mon conjoint a voulu télécharger un convertisseur de musique et l'ordinateur s'est retrouvé avec des pages qui apparaissent de façon intempestives indiquant qu'il y a des virus, alors que notre antivirus ne dit rien.
Suite à des recherches sur internet, j'ai suivi le tuto FRST.

Voici les liens qui m'ont été donnés :
- https://pjjoint.malekal.com/files.php?i ... _h5n7e1365 => pour frst
- https://pjjoint.malekal.com/files.php?i ... k5i10t9g12 => pour addition
- https://pjjoint.malekal.com/files.php?i ... z7h6p15z15 => shortcut

Pouvez-vous m'aider ?

Merci

[Parisien_entraide]

Bonsoir,

Arghh tu as pris un sujet résolu, et dont le sujet était hypothétiquement un malware mais qui ne l'était pas et qui en plus n'a pas pas de relation avec Bing

Tu peux refaire ton propre sujet ?

En plus tu as posté 2 fois le meme rapport