[VIRUS] Infection Avguirna (résolu)

[Newton94]

Bonjour à tous,
Mon PC est fortement ralenti depuis quelques semaines.
J'ai utilisé CCleaner pour "faire le ménage", sans résultat significatif en terme de performances.
Depuis quelques jours, son comportement est de plus en plus anormal : plus de possibilité d'imprimer, plantages d'Outlook, demandes d'activation de Windows, "Menu démarrer" qui ne fonctionne plus qu'en mode sans échec... Enfin, hier j'ai reçu un mail de Microsoft m'informant que mon mot de passe de compte avait été modifié depuis une plateforme iOS en Allemagne...
En regardant dans les processus activés au démarrage, j'ai identifié le programme "Avguirna" (qui n'apparaît cependant pas dans les processus en cours).
J'ai désactivé Avguirna et lancé des diagnostics Malwarebytes et Adw Cleaner, sans résultats.
J'ai fait un scan OTL mais je ne sais pas quoi en faire :-(
Vous remerciant par avance de quelques conseils pour une désinfection.
Cordialement.

[angelique]

Bonjour/Bonsoir,

ça fait beaucoup de disfonctionnements pour un simple malѡare s'il y a.

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST ou FRST
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
  
  -------------
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  -------------
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Newton94]

Bonjour/soir Angélique, et merci infiniment pour ta réponse,

Beaucoup de souci d'un coup effectivement, je serais curieux de savoir ce qu'il y a derrière :-(

Voici les liens pour les rapports FRST :

https://pjjoint.malekal.com/files.php?i ... 8b13s12e14
https://pjjoint.malekal.com/files.php?i ... g9h7y8y9f7
https://pjjoint.malekal.com/files.php?i ... 6p7o8e15k7

Merci encore...

[angelique]

Rien de flagrant sur tes rapports, cependant tu as réalisé le scan en mode sans échec avec prise en charge réseau.:
Windows 10 Home Version 1709 16299.192 (X64) (2017-12-05 12:36:54)
Mode d'amorçage: Safe Mode (with Networking)

Tu peux pas le faire en mode normal ?

ton processus avtruc a l'air lié à AVG , "C:\Program Files (x86)\AVG\ Framework\Common\avguirna.exe"

[Newton94]

Je vais tenter mais je ne peux plus accéder aux programmes depuis la barre des tâches windows en mode normal (raison pour laquelle j'avais basculé en mode sans échec).
Je retente...

[Newton94]

Finalement j'ai pu reprendre la main en mode normal, voici les rapports :

https://pjjoint.malekal.com/files.php?i ... 5b15k14v12
https://pjjoint.malekal.com/files.php?i ... z11y14d9i9
https://pjjoint.malekal.com/files.php?i ... i6u8h7p5f9

Cordialement.

Pour le processus, j'ai effectivement désinstallé AVG pour le remplacer par Avast...

[angelique]

essaie déja ça le temps que je lise les rapports.

Ouvre une invite de commande CMD en tant qu'administrateur.

dans la fenetre d'invite , tape : powershell

Dans la fenêtre powershell , copie/colle et valide :

Code : Tout sélectionner

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

[Newton94]

C'est en cours...

[Newton94]

C'est fini (beaucoup de rouge...) :-(

[angelique]

en tout cas ce n'est pas un problème de malѡare selon les rapports

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message et dire si tu retrouves un semblant de Ѡindows ?

[Newton94]

Manipulation effectuée, voici le lien vers le rapport :

https://pjjoint.malekal.com/files.php?i ... c10f5n14k6

Pour ce qui est du comportement de Windows après la manip' ça a l'air plutôt pas mal : imprimante pdf ok, outlook idem... La bestiole est plutôt réactive.

Plus de processus "Avguirna.exe" dans l'onglet démarrage du gestionnaire de tâches non-plus. S'agissait-il d'un logiciel malveillant ou d'un reliquat de désinstallation d'AVG ?

Il y avait également un autre processus "bizarre" (en tout cas à mes yeux de Newbie) dans le même onglet démarrage (qui lui y est toujours) : il s'agit d'un processus "Program", sans éditeur... je l'avais désactivé dans le doute. Puis-je le réactiver ?

[angelique]

reliquat de désinstallation d'AVG

Je ne le vois pas dans ta liste ton "Program" :

==================== MSCONFIG/TASK MANAGER éléments désactivés ==

HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0"
HKLM\...\StartupApproved\Run: => "pac"
HKLM\...\StartupApproved\Run: => "iTunesHelper"
HKLM\...\StartupApproved\Run32: => "Adobe Acrobat Speed Launcher"
HKLM\...\StartupApproved\Run32: => "AdobeCS6ServiceManager"
HKLM\...\StartupApproved\Run32: => "ArchVision Dashboard"
HKLM\...\StartupApproved\Run32: => "Autodesk Desktop App"
HKLM\...\StartupApproved\Run32: => "ADSK DLMSession"
HKU\S-1-5-21-2250374147-3780695457-1754724021-1001\...\StartupApproved\Run: => "Autodesk Sync"
HKU\S-1-5-21-2250374147-3780695457-1754724021-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"
HKU\S-1-5-21-2250374147-3780695457-1754724021-1001\...\StartupApproved\Run: => "ownCloud"


---------------

supprime ce dossier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen

[Newton94]

Je peux coller une copie d'écran dans le post ?

[angelique]

oui

supprime ce dossier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen

[Newton94]

Voici :

https://pjjoint.malekal.com/files.php?i ... 11b11h13w8