Problème virus , et logiciels ne detectent rien [Résolu]

[rooxcool]

Bonjour

J'ai suivi plusieurs pas après un rapport ZHPDiag ( malwarbytes, AdwCleaner, RogueKiller), mais ceux ci ne détectent rien de ce que le rapport m'indique au ZHPDiag ( 1 Adware CrossRider , et plusieurs erreurs windows, Microsoft WIndows PerfProc / AutoEnrollment / RestartManager / WindowsPerfib / Disk l'indentificateur / dns client / windows time service et sup.orphan muicache. )

J'ai mon fils qui utilise aussi l'ordinateur de temps a autre pour jouer, mais là j'ai besoin de travailler et mon ressentis est que le disque dur est chargé par Système , il écris un peut partout windows\temp, etc et je n'arrive pas a ouvrir un message pour rédiger un mail, ou bien le navigateur web met 10 ans a charger alors que je dispose de la conection des plus rapides Bridé à 1Gb car le pc n'accepte pas plus, enfin le pc est neuf d'il y a 2 semaines, montage propre.

Je n'arrive pas a trouver ou ce situe le rapport ZHPDiag, je fait un copié coller de tout ce qu'il y a,

1 - CrossRider, Logiciel Potentiellement Indésirable.
Il ajoute d’autres programmes à l’insu de l’utilisateur. Il pollue les unités de stockage et/ou la Base de Registres.
Il s’installe avec des noms de programme aléatoires comme « Savings Wave« , « Video-high« , « BrowsersAppProPlus » ou encore « MedPlayV3« . Il recueille vos habitudes de navigations et les communique à un serveur (Tracking).

2 - Aperçu ZHPDiag:
Application.Warning: Microsoft-Windows-PerfProc (94)
~Numéro: 54988
~Date: 07/25/2020 05:49:57 PM
~ID: 2002
~Description: Impossible d’ouvrir l’objet de traitement %1 pour un accès en interrogation. Le processus appelant peut ne pas disposer de l’autorisation d’ouvrir ce travail. Les quatre premiers octets (DWORD) de la section Data contiennent le code d’état.
~Suggestion: Vérifier les compteurs de performances

Application.Warning: AutoEnrollment (73)
~Numéro: 54970
~Date: 07/25/2020 05:45:03 PM
~ID: 64
~Description: Système local92 5f 5c 09 62 8b 44 d5 7c 7c 93 4c 69 49 5a 83 53 6c 43 7a
~Suggestion: Installer le Kit de développement logiciel (SDK).

Application.Warning: Microsoft-Windows-RestartManager (3)
~Numéro: 53155
~Date: 07/15/2020 12:04:27 AM
~ID: 10010
~Description: Impossible de redémarrer l’application « %3 » (pid %2) – %9.
~Suggestion: Redémarrer manuellement l’application ou le service

Application.Warning: Microsoft-Windows-Perflib (32)
~Numéro: 54911
~Date: 07/24/2020 11:46:25 PM
~ID: 2003
~Description: Les informations de configuration de la bibliothèque de performance ‘%1’ pour le service ‘%2’ ne correspondent pas.
~Suggestion: Contacter le fournisseur de la bibliothèque de performances ou utiliser votre support d’installation pour obtenir une nouvelle copie du fichier binaire et réinstallez-le sur le système.

3- System.Warning: disk (12)
~Numéro: 24193
~Date: 07/25/2020 09:59:13 AM
~ID: 158
~Description: Les identificateurs du disque %2 sont identiques à ceux d’au moins un autre disque du système.
~Suggestion: https://support.microsoft.com/en-hk/hel ... disk-guids

System.Warning: Microsoft-Windows-DNS-Client (18)
~Numéro: 41201
~Date: 07/25/2020 09:32:56 AM
~ID: 1014
~Description: La résolution du nom %1 a expiré lorsqu’aucun des serveurs DNS configurés n’a répondu.
~Suggestion: https://social.technet.microsoft.com/wi ... lient.aspx

System.Warning: Microsoft-Windows-Time-Service (11)
~Numéro: 40747
~Date: 07/23/2020 07:52:49 AM
~ID: 134
~Description: NtpClient n’a pas pu définir d’homologue manuel utilisable comme source de temps en raison d’une erreur de résolution DNS sur ‘%3’.

4-Orphan.MUICache, Logiciel Potentiellement Superflu (LPS).


Si quelqu'un pourrais m'expliquer comment m'y prendre, je deviens fou même ce texte j'ai mis environs 25 minutes pour l'écrire au vus de la lenteur que j'ai.

Voici les rapports avec FRST

https://pjjoint.malekal.com/files.php?i ... u15p12o5v5
https://pjjoint.malekal.com/files.php?i ... 0b6i7s11g9


En vous remerciant

[Parisien_entraide]

Bonjour,

Alors lis bien ceci https://www.malekal.com/adwcleaner-zhpc ... habitudes/

Par ex je peux te créer un dossier avec un nom spécifique de programme connu, et ZHP, Adwcleaner vont couiner et mettre des alertes partout

Ensuite pour les alertes, tu les retrouves dans l'observateur d évènement, où 90% de ces alertes sont ... NORMALES et n'ont pas d'impact sur le bon fonctionnement du PC
D'autres sont inutiles et dépendent de la version de Windows (Home ou PRO par ex)
Tu as une erreur MPIO qui normalement sont liées aux serveur sous Windows (mais tu es peut etre en version Pro) mais cela peut être lié aussi au pilote de gestion, qui a un champ large de gestion

Que dit Microsoft ?

"Microsoft a créé la prise en charge de la fonctionnalité MPIO (Multipath I/O) dans Windows Server pour vous aider à créer des configurations réseau iSCSI hautement disponibles et tolérantes aux pannes. MPIO utilise les composants de chemin d’accès physique redondants (adaptateurs, câbles et commutateurs) pour créer des chemins d’accès logiques entre le serveur et l’appareil de stockage. "

Le truc, c'est que meme en version serveur, ce n'est pas installé par Microsoft
Ex de définition, d'usage https://blog.developpez.com/mikedavem/p ... te_comment


Idem pour les LPS comme ton Ophan.MUICache : A chaque nom de processus qui lance l’application, une valeur de clé de registre est ainsi créée dans la clé « MUICache » du « Shell » Windows.


C'est du même ordre que les MRU (copier coller de la définition) :

"Les fiches MRU (Most Recently Used Lists, traduisez : liste des utilisés le plus récemment) désignent les éléments du système donnant la liste des items ouverts en dernier. Ainsi, par défaut Windows crée une liste des derniers documents ouverts par des outils Microsoft ou affiliés (suite Office, outils multimédias, entre autres). Plusieurs logiciels créent en plus leur propre liste des derniers documents ouverts ou des dernières pages consultées (les fureteurs et la plupart des outils logiciels et multimédias le font). Enfin, plusieurs logiciels ou sites web (via des cookies) listent les éléments recherchés en dernier. "

Nombre de programmes de détection (antii virus/malwares, nettoyeurs dont de registre etc) vont t'afficher une liste impressionnante, avec parfois des indicatiions de dangerosité, pour te conforter dans l'idée que ces programmes sont efficaces
Il n'en n'est rien
Hormis à la rigueur pour la confidentialité si le PC est utilisé au sein du cadre familial, tout cela est plus que secondaire

Pour ZHP tout est fait pour que l'utilisateur aille sur le site de l'auteur... Je te laisse deviner le pourquoi

En cas de suspicion d'infection on peut effectuer une analyse par MBAM par ex, mais le bon sens veut que l'on procède à une analyse AVANT d'utiliser un programme que l on souhaite efficace telle une baguette magique

Pour analyser il faut utiliser Farbar (FRST)

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[rooxcool]

Oui ,

Pour le MPIO je pensait au problème ID du disque dur, j'avais windows sur un vieux disque dur, j'ai tout simplement re installé celui ci sur un nouveau disque, a l'aide d'une clé usb, sans desinstaller l'autre, si jamais je n'arrivais pas a installer windows que j'ai une porte de sortie, puis rebranché l'ancien ( avec tout windows etc , puis je l'ai formaté, avant qu'il y ait conflit ) je me suis dis que ça venait peut etre de ça,

Voici les liens,

Addition: https://pjjoint.malekal.com/files.php?i ... 12u10p13n5
FRST : https://pjjoint.malekal.com/files.php?i ... 10w6t13s12
Shortcut: https://pjjoint.malekal.com/files.php?i ... 0h7b8e15h7

D'accord pour les cclenear, zhpdiag, je vais de suite desinstaller ça , suite a la lecture , néanmoins si jamais, voici le rapport du ZHPDiag,

Voici ZHPDiag j'ai finalement trouvé le rapport: https://pjjoint.malekal.com/files.php?i ... 12t9l9m5s9

[Malekal_morte]

Rien d'anormal sur ce PC.
Faut pas tenir compte des "détections" ZHP...

Désinstalle MEGAsync

[*] Vérifie la température de l'ordinateur
[*] Vérifie la CPU si utilisation mémoire/CPU excessive par un processus en particulier. N'hésite pas à fournir des captures d'écran du gestionnaire de tâches avec les processus triés sur la colonne CPU pour voir celui qui reste le plus proche de 100%.

[rooxcool]

Dès que j'installe quelque chose, je fait un exemple, on va dire Malwarbytes, rien que l'installation rend le pc ultra lent.
Un quelquonque d'installation le pc devient lent,
A de smoments donnés le processur System , prends 0.1 mb de disque, mais c'est affiché 50% d'utilisation ( 2 disques ) j'ai vus certains comme premier utiliser 650 mb sans que ça plante ( déjà testé )
Hors en moniteur de ressours je retrouve parfois , quand ça deviens extremement lent, du c\windows\temp écriture a 2.000.000 + en octet et saturation du disque, du coup lenteur navigateur web, applications ne répondent plus..
je suis affrèteur et je n'arrive pas a tenir 5 minutes sans faire quoi que ce soit que ça fasse rendre le pc lent

Maintenant c'est calme mais ça va revenir..

Je précise, cette page du forum, et outlook, le disque il travaille, hors avant ce nouveau pc, le disque étais toujours calme
et a des moments ça dure 5 10 minutes a 100%, et si j'installe quoi que ce soit, c'est fini voir le pc le redemarrer car ça ne reviens plus après ' ne réponds plus '
Captures d'écrans: https://pjjoint.malekal.com/files.php?i ... 4c11k7v9s8
https://pjjoint.malekal.com/files.php?i ... 13d8i15m13

MegaSync je l'utilise pour sauvegarder un Dossier, du travail


Donc tout cela ne serait pas lié a un virus ?

[Malekal_morte]

Désinstalle KB4566782 si présente.

Si pas mieux :

Vérifie l'état de santé des disques dur notamment avec Par exemple avec CrystalDiskInfo, voir si le statut est correct ou Prudence.

Désactive SysMain / Superfetch - voir : https://www.malekal.com/optimiser-desac ... indows-10/
Regarde si c'est mieux.

[rooxcool]

Je viens de désactiver Sysmain , superfecht je ne l'ai pas comme service ,

J'ai bien la KB4566782 , elle presente des soucis de compatibilité ? Je vais donc la desinstaller

Voici les captures d'écran
DiskInfo https://pjjoint.malekal.com/files.php?i ... n8x15u14y7
DiskMark https://pjjoint.malekal.com/files.php?i ... 0g11j15p14


Tout semble normal mais je suis quand même pas fou :(

[rooxcool]

Voici un exemple quand le disque s'éxcite,

Moniteur ressource + gestionnaire des taches

https://pjjoint.malekal.com/files.php?i ... o11o6t14t9

Je ne sait pas si il en est en cause, mais le navigateur Edge ( restauré par défaut ce matin ) est très lent aussi

[Parisien_entraide]

Bonjour,

Outre ce qu'à indiqué Malekal


Dans les services

Désactive Nvidia Telemetry Container. Cela ne sert à rien (hormis pour la télémetrie) , et bouffe des ressources
Désactive les launchers de jeu, ou du moins les mettre en "Manuel" au lieu de automatique (Steam etc)


Pour certains programmes

RASER SYNAPSE
Je note que tu as une souris Razer
Déjà dans les options de Syunpase 3 il faut désactiver la connexion réseau
La connexion ne sert qu'aux mises à jour, et à envoyer la configuration de la souris dans le Cloud
Accessoirement, RAZER fait de la télémetrie, donc récupère via analyse du disque des données et les envoie dans le cloud


NVIDIA

En rapport avec le service cité ci dessus

viewtopic.php?t=57954



CCLEANER

Tu as des fonctions de Ccleaner contre productives (Smart cleaner) qui ne peuvent QUE ralentir le disque dur et consommer des ressources
Pouur le régler :
https://www.malekal.com/avez-vraiment-besoin-ccleaner/

Sinon adopter un "nettoyeur plus "safe" https://www.malekal.com/privazer-nettoyer-windows/


PROGRAMMES CONSOMMATEURS DE RESSOURCES

Outre MegaSync tu as également Google Drive Sync et AnyDesk


PROGRAMME A PROBLEMES

Un client Bitorrent actif (que je conseille de changer pour un Qbitorrent et de ne pas le lancer au démarrage)
Ensuite éviter de télécharger des jeux crackés et logiciels (certains cracks peut etre vérolés sont bloqués. Ca ne sera pas toujours le cas)

A lire : https://www.malekal.com/utorrent-et-les-virus/

Je note une détection trojan sur le jeu Tom Clancy's Ghost Recon Wildlands avec le programme GRW.exe
Soit c'est un faux positif (cela fait des années que ca l'est)
Soit c'est cracké
Soit il y a un programme de triche qui a modifié le programme

Mais par ex il y a un crack sur le jeu Assassins Creed Odyssey

Il y a d'autres cracks également et cela a affecté explorer et MBAM (donc possible plantages et BSOD)

De grosses suites Adobe Premiere Pro 2020 (cracké je suppose ?)


NAVIGATEURS

Tu as mis EDGE par défaut (ou Microsoft l'a fait pour toi)
Celui est lancé au démarrage et tourne en arrière plan

A lire
viewtopic.php?t=65094

et si besoin https://www.malekal.com/supprimer-desin ... 7-8-et-10/

En protection
Vire adblockPlus. A remplacer par Ublock Origin
https://www.malekal.com/ublock-bloquer- ... -internet/


DIVERS

Il semble y avoir un soucis avec Windows search et Cortana
Il est possible que l'indexation soit corrompue (première grosse source de ralentissements voire plantages)

Déésactive l'indexations sur tous les lecteurs
https://www.malekal.com/desactiver-inde ... un_lecteur

Désactive Windows search dans le services (pour tester)

Si tu as besoin de chercher des fichiers : https://www.malekal.com/everything-rech ... s-windows/

__________

Edit : Vu que ce PC sert à jouer ET à travailler je suggère de créer un compte limité pour le fils vu qu'il est fait n'importe quoi au niveau des téléchargements via Bitorrent
Vu le comportement, obligatoirement ce PC se fera infecter un jour avec une infection que l'anti virus ne verra pas passer ou ne pourra stopper, sans compter les modifications de fichiers qui amèneront à un PC instable
Au pire un ransomware, et là tout sera crypté

[rooxcool]

Pour

nvidia ok j'ai installé autorun sur le pc et j'ai desactivé les NVIDIA Crash reporter, le monitor je ne l'avais pas

Razer j'ai desactiver mettre a jour autimatiquement, j'ai décoché un maximum de cases, et coché ne pas m'informer ( décoché télécharger automatiquement les mises a jour ) , mais pas trouvé pour la conection internet

Ccleaner , je l'ai viré directement

MegaSync & Google Drive, sont obligatoire pour mon travail, je les ai toujours utilisé jamais de soucis ( enfin toute façon je peut pas contredire mon patron )
Anydesk pareil, je dois travailler sur un serveur pour effectuer des Ordres de chargement, donc pas le choix

Alors la pour les jeux.. c'est une colle je n'en ai aucune idée mon fils est a l'école, mais c'est possible vus qu'il as déjà fait des bêtises sur le pc
Que dois je désinstaller ?

Je viens de desinstaller Edge par contre il me demande gmail sur google, pas moyen de passer la synchronisation de Edge ( hotmail ) a google gmail je suppose ?
J'ai viré adblock plus
Donc je vais installer Ublock sur google chrome

L'indexation je viens de la desactiver, ça a pris pas mal de temps sur les lecteurs

Windows search desactivé

[Parisien_entraide]

Pour les désinstallations je conseille Revo Uninstaller (ou Geek Uninstaller) seul moyen de ne pas laisser de traces de fichiers, clés de registres, en place

https://www.malekal.com/revo-uninstalle ... acilement/

Pour le reste, les jeux crackés et autres ..C'est entre ton fils et toi :-)
Et il n'y a pas que les jeux car il y a les lanceurs derrière ( sous Steam il peut y avoir plusieurs jeux par ex)
Donc faire le tri entre le légal et ce qui ne l'est pas

Pour Edge.. peut etre que malekal pourra te répondre car peut etre lié au compte qui a servi à l'installation de Windows

Pour l'indexation c'est normal que ce soit long et lent surtout sur un disque dur

Pour MEGA etc.. Bon ben pas de bol :-) (mais là aussi peut etre qu'iil y a des services derrière et donc voir si le fait de mettre en manuel change quelques chose (de mémoire il y a la suite OFFICE aussi, là aussi elle n'a pas besoin de se lancer au démarrage pour gagner 1/10ème de seconde au lancement)


LE PLUS IMPORTANT

Après relance de l'ordi ll y a du mieux ?

[rooxcool]

Donc après tout les manipulations, j'ai arrêté le pc, 5 minutes puis redémarré

Maintenant il est comme ça: https://pjjoint.malekal.com/files.php?i ... 15s14i15z7

C'est stable et ça marche bien, c'est une des dernières manipulations qui l'as rendus un peut plus stable.

Je vais laisser passer un peut le temps, pour voir ce que ça dis
Je vais désinstaller les jeux tout a l'heure, là j'ai des chargements a placer donc pas trop le temps. Il faudra tout désinstaller je lui achèterais sont pc comme ça je serait tranquille

Pour la suite Office c'est Outlook, je gère plusieurs adresses mail pour la boite , et je travaille sous excel en même temps.

Pour steam, j'ai vérifié il est en manuel, le service Microsoft Office démarrer en one click, je viens de le mettre en manuel , merci

Merci beaucoup pour ton aide parisien_entraide

[Parisien_entraide]

Effectivement aux vues de la capture cela à l'air assez .. calme :-)

Il y aurait encore besoin d'affiner, ajouter quelques protections mais bon, l'essentiel à été fait
Quant à ton fils.. C'est soit lui créer un compte sous Windows soit qu'il dispose de son propre PC qu'il pourra pourrir tout seul :-) mais au moins tu réduit largement les risques d'infection

[rooxcool]

C'est sûr , avec l'anydesk sur la machine a la quelle on fait les ordres, un windows 7, il n'y a peut etre que 10 processus, comparait au notre je vois 157 dans le gestionnaire, c'est incroyable.

Car j'utilise Visor , qui est un logiciel de GPS pour les camions, sous windows 7 des fois il plante car bon très vieux avec le java , et il faut le supprimer dans le gestionnaire il nous a dis l’informaticien pour pouvoir le re ouvrir , mais sur le windows 10 on trouve facilement 3 ou 4 process de Java.

Cela dis depuis il se comporte très bien , il marche impéccable, d’ailleurs j'ai dû oublier de désactiver les mises a jour, car il y a environs 30 min il a redémarré puis lancé la mise a jour windows, la fameuse KB que j'avais désinstallé , si ça marche pas je serait quoi faire.

En tout cas merci beaucoup pour votre aide

[Parisien_entraide]

Le nombre de processus a largement augmenté sous Windows 10

En fait sous Windows 7 il y avait par ex le processus (surtout les services) TOTO, mais sous Windows 10 TOTO a été scindé en X morceaux (je schématise et simplifie)
A cela s ajoute l isolation et les container/sandbox un peu comme avec https://www.malekal.com/plusieurs-proce ... chost-exe/
et au final on a des tas de processus (mais qui n'occupent pas plus de mémoire globalement que sous Win7 contrairement aux navigateurs)
Après il y en a d'autres liés aux nouvelles fonctionnalités mais c'est un autre sujet

Pour la KB voici les erreurs qu'elle "peut" apporter (ce n 'est pas systèmatique)

- La camera Windows Hello a cessé de fonctionner ;
- Un écran bleu se produit lorsque la virtualisation Intel, Windows Sandbox ou les fonctionnalités Hyper-V ont été activées. Désactiver celles-ci « résout » le problème ;
- Le message « aucune sortie audio n’est activée » s’affiche, ce qui peut être corrigé par une réinstallation du pilote de la carte audio (Realtek, notamment) ;
- L’explorateur Windows se lance et se fige, rendant impossible l’accès aux fichiers ;
- Le CPU est utilisé à 100% après le redémarrage du PC pendant plusieurs minutes.

Par contre celle à venir la KB4571744 a 2 tonnes de correctifs (voir dernier message) donc elle pourra aider si il y a encore des soucis

viewtopic.php?f=2&t=66070&start=15