Problème avec "rsEngineSvc" qui tourne en continu

Résolu/Fermé
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023 - Modifié le 6 sept. 2022 à 10:23
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 - 6 sept. 2022 à 18:12

Bonjour,

Junior a joué sans autorisation sur des serveurs enligne, installé des jeux... bref un certain nombre d'applications ont été installées sur l'ordinateur.

J'ai fait une première série de suppression mais je ne sais pas ce qu'il faut enlever ou non ? Je ne voudrais pas supprimer des fichiers essentiels.

En particulier il y a "rsEngineSvc" qui peut avoir "consommation" très élevée dans le gestionnaire des tâches !

SVP, est-ce une application à enlever ? et si oui comment ?

Il y a aussi RAV Antivirus qui est apparu ainsi que Weather zéro...

Merci pour votre aide et vos conseils.


Windows / Firefox 104.0

14 réponses

bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 10:26

Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.


1
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 14:34

Il s'est réinstallé maintenant il s'appelle RAV Endpoint Protection, il va falloir faire la suppression de RAV avec Windows démarré en mode sans échec sinon cela risque de ne pas fonctionner.

Procédure à faire dans l'ordre indiqué :

Démarre ton pc en mode sans échec avec prise en charge du réseau voir CETTE PAGE.

Une fois ton pc démarré en mode sans échec avec prise en charge du réseau :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
(services.exe ->) (Reason Cybersecurity Inc. -> Reason Software Company Inc.) C:\Program Files\RAVAntivirus\rsClientSvc.exe
(services.exe ->) (Reason Cybersecurity Inc. -> Reason Software Company Inc.) C:\Program Files\RAVAntivirus\rsEngineSvc.exe
(services.exe ->) (Reason Cybersecurity Inc. -> Reason Software Company Inc.) C:\Program Files\RAVAntivirus\rsWSC.exe
(services.exe ->) (Reason Cybersecurity Inc. -> Reason Software Company Inc.) C:\Program Files\RAVAntivirus\x64\rsSyncSvc.exe
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
AlternateDataStreams: C:\ProgramData:err [1420]
AlternateDataStreams: C:\Users\All Users:err [1420]
AlternateDataStreams: C:\ProgramData\Application Data:err [1420]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10052]
FirewallRules: [{C510A49D-84BE-418E-934F-C415CFB5FDE2}] => (Allow) C:\Users\C&C\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{894E7E0A-1B56-4B61-B7D5-657EC6CBDBD2}] => (Allow) C:\Users\C&C\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
C:\WINDOWS\system32\Drivers\ReasonCamFilter.sys
R1 ReasonCamFilter; C:\WINDOWS\System32\DRIVERS\ReasonCamFilter.sys [49992 2022-09-06] (Reason CyberSecurity Inc. -> Reason Software Company)
R2 rsClientSvc; C:\Program Files\RAVAntivirus\rsClientSvc.exe [728904 2022-09-06] (Reason Cybersecurity Inc. -> Reason Software Company Inc.)
R2 rsEngineSvc; C:\Program Files\RAVAntivirus\rsEngineSvc.exe [354632 2022-09-06] (Reason Cybersecurity Inc. -> Reason Software Company Inc.)
R2 rsSyncSvc; C:\Program Files\RAVAntivirus\x64\rsSyncSvc.exe [578736 2022-08-29] (Reason Cybersecurity Inc. -> Reason Software Company Inc.)
R2 rsWSC; C:\Program Files\RAVAntivirus\rsWSC.exe [204504 2022-09-06] (Reason Cybersecurity Inc. -> Reason Software Company Inc.)
(C:\Program Files\RAVAntivirus\rsEngineSvc.exe ->) (Reason Cybersecurity Inc. -> Reason Software Company Inc.) C:\Program Files\RAVAntivirus\rsHelper.exe
C:\ProgramData\RAVAntivirusBackup
C:\Users\C&C\AppData\Roaming\rav-antivirus-client
C:\ProgramData\RAVAntivirus
C:\Program Files\RAVAntivirus
C:\ProgramData\RAVVPNService
C:\ProgramData\RAVVPNBackup
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 10:37

ça commence mal, je ne meut même pas exécuter FRST en tant qu'administrateur.

Cela me met qu'il contient un virus.

Bloqué par Microsoft Defender et par RAV antivirus même si j'essaie de forcer en autorisant quand même.

Maintenant quand je clique en tant qu'administrateur j'ai le message "impossible de terminer l'opération car le fichier contient un virus ou un logiciel potentiellement indésirable".

et si je veux supprimer le fichier FRST (pour le télécharger à nouveau) cela me met "Action interrompue, une erreur inattendue vous empeche de supprimer le fichier. Erreur 0x800700E1 : impossible de terminer l'opération car le fichier contient un virus ou un logiciel potentiellement indésirable"

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 10:47

Passe outre les avertissements, FRST sert à détecter les infection, pour l'alerte de Windows Defender clique sur informations complémentaires puis sur exécuter quand même.

1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 11:07

Finalement j'ai réussi en désactivant temporairement RAV antivirus qui a ensuite essayé de me bloquer à nouveau.

J'ai du forcer l'autorisation de Microsoft Defender.

Je ne sais pas d'où arrive RAV antivirus mais je crois qu'il serait préférable de le supprimer si vous pouviez aussi m'aider avec cela SVP ?

NB :  je pensais avoir supprimé Startallblack mais il apparait encore dans les fichiers txt...

Rapport FRST https://www.cjoint.com/c/LIgjbdsnKEg

Rapport FRST Addition https://www.cjoint.com/c/LIgjcHkY0xg

Merci beaucoup

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 11:38

Tu as un pc qui était d'origine sous Windows 10 il n'était pas compatible avec Windows 11 tu as donc suivi la procédure de la Team AveYo, la mise à niveau vers Windows 11 c'est bien passée.

Pour ce qui est de rsEngineSvc c'est un processus qui vient de l'antivirus RAV, Windows 11 a déjà son propre antivirus il est efficace et suffisant il s'active automatiquement dès qu'aucun autre antivirus n'est installé ou activé sur le pc.

Vu que tu dis vouloir supprimer RAV antivirus, pour le supprimer et du même coup supprimer rsEngineSvc désinstalle-le  avec Revo Uninstaller en mode scan avancé (voir le tutoriel détaillé en fin de message).

Désinstalle aussi avec RevoUninstaller les logiciels qui suivent :

Safer Web et VPN by RAV ce sont des modules complémentaire de RAV qui se sont installés en même temps, si tu ne t'en sers pas désinstalle-les.
Vu que tu dis vouloir le faire désinstalle WeatherZero, c'est probablement un adware.
WebAdvisor par McAfee c'est un adware inutile.

Si tu ne souhaites pas garder tout ce qui concerne les jeux tu peux désinstaller :

Epic Games Launcher
Epic Online Services
Steam

Voilà c'est une première liste à toi de voir ce que tu souhaites désinstaller dans cette liste selon que tu te sers de ces logiciels ou pas.

Une fois que tu auras désinstallé les logiciels que tu ne souhaites pas conserver, fait une nouvelle analyse FRST et donne les liens des deux rapports.

POUR LA DÉSINSTALLATION :

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
6 sept. 2022 à 12:11

Merci, c'est un ami de passage qui a change la capacité du SSD et remis windows 11.

J'ai supprimé les logiciels liés à Rav, Opéra, le weather zero, Webadviser ainsi que startallblack et lord of the rings.

Je garde les jeux de Junior.

J'ai effectué le redémarrage.

Cette fois je suis complétement bloqué pour exécuter FRST. Je ne peux pas le supprimer. Je suis obligé de le réinstaller et relancer en mode administrateur pour pouvoir voir apparaitre le message pour forcer le passage.

"informations complémentaires puis sur exécuter quand même." Je le fais bien, une fenêtre s'ouvre, je clique sur oui pour autoriser quand même et là rein ne se passe sauf le message d'erreur "Action interrompue, une erreur inattendue vous empeche de supprimer le fichier. Erreur 0x800700E1 : impossible de terminer l'opération car le fichier contient un virus ou un logiciel potentiellement indésirable"

Que faire svp ?

Sinon, cet ami m'avait configuré la barre des taches et écran de démarrage comme les anciennes version, tout cela à sauté.

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
Modifié le 6 sept. 2022 à 12:18

Met FRST dans les exceptions de Windows Defender 

Sinon, cet ami m'avait configuré la barre des taches et écran de démarrage comme les anciennes version, tout cela à sauté.

C'est normal vu que tu as désinstallé startallblack.

1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 13:30

Ca ne fonctionne toujours pas.

J'ai eu du mal à trouver et au final, surprise, Windows Defender reste désactivé et je n'arrive pas à l'activer.

Reason Cyber Securité est toujours là ! et je n'arrive pas à le désactiver. C'est ça qui bloque encore.

J'ai fait une copie d'écran

0
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 13:42

J'ai relancé Revo Uninstaller, ces fichiers n'apparaissent plus.

J'ai regardé dans le gestionnaire des taches, il y en a encore "rsEngineSvc"...

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 13:49

Tu m'as dit n'avoir désinstallé que les logiciels liés à RAV c'est RAV antivirus qu'il fallait désinstaller pour ne plus avoir rsEngineSvc si tu n'arrives pas à désinstaller RAV antivirus dis-le moi je te ferais un script FRST pour le virer. 

2
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 14:13

Oui j'avais désinstallé RAV antivirus en premier.

Logiciels liés à Rav : j'ai désinstallé en suivant bien la procédure (mode avancé, scan, sélectionner tout puis supprimer pour les deux fenêtres, fini), j'ai fait cela successivement pour RAV antivirus, puis Safer Web puis VPN by RAV.

Rav vient de se réinstaller/réapparaitre dans les logiciels via la flèche vers le haut située dans la barre des taches à droite. J'ai pu à nouveau faire une exclusion pour lancer FRST.

Je mets les deux rapports ci-dessous ainsi qu'une copie d'écran

FRST https://www.cjoint.com/c/LIgmkh8GGUg 

Addition https://www.cjoint.com/c/LIgmlc1rjwg 

0
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 16:02

Merci beaucoup !

Je suis impressionné par le script !!!

J'ai tout fait comme indiqué.

Au moment du redémarrage j'ai eu ce message d'erreur

puis j'ai pu accéder aux écrans bleu pour redémarrer en mode sans échec avec réseau.

J'ai fait les manipulations indiquées et redémarrer immédiatement dès que le message le demandant est apparu.

Rapport Fixlog :  https://www.cjoint.com/c/LIgnPpJZzVg 

(NB : je n'ai jamais pu accéder au tutoriel cjoint)

Pour l'instant, le problème RAV Antivirus semble être résolu car il n'est pas réapparu.

- Est-il possible d'en être certain ?

- Pourriez-vous svp m'indiquer comment remettre la barre startallblack ? J'ai cru que c'était un adware malveillant lié au rugby...

(J'avais retenu que speedfan c'était pour voir la température des disques durs (le précédent était en surchauffe avant changement et c'était un SSD de 100Go d'origine qui ramait pour faire tourner windows et ses mises à jour... mais startallblack je n'avais pas fait attention)

- Voyez-vous svp encore quelque chose à nettoyer ou quelque chose à faire pour optimiser l'ordinateur ?

Déjà un grand merci pour votre aide, je n'aurai jamais pû faire cela seul (même les premières étapes)

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
Modifié le 6 sept. 2022 à 16:08

Pour startallblack il suffit de l'installer attention il est gratuit durant une période d'évaluation ensuite il faut l'acheter pour qu'il continue à fonctionner, voir aussi cette page pour info il faut se méfier de ces tweakers ils finissent parfois par provoquer des bugs.

Le fixlog de FRST est OK, RAV n'est plus actif sur ton pc.
Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
6 sept. 2022 à 16:36

Merci beaucoup,

Je crois que c'était une version définitive de startallblack qui était installée, compte-tenu de votre avis je ne vais pas prendre de risque et essayer d'abord de me familiariser avec la nouvelle présentation Windows 11.

La manipulation pour FRST a bien fonctionné.

J'ai encore eu le même message d'erreur que précédemment.

Que puis-je faire svp ?

0
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 16:52

Non ce n'est pas résolu.

Il est encore là, RAV apparait encore, je viens de faire la copie d'écran

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
Modifié le 6 sept. 2022 à 16:48

Non il n'est plus là c'est juste une entrée dans les programmes installés, si tu essaies de le désinstaller il y aura un message qui te dira que RAV n'est plus sur le pc et te proposera de supprimer l'entrée.

1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
Modifié le 6 sept. 2022 à 16:50

Super, Ouf !!!

Merci beaucoup, j'ai supprimé l'entrée comme indiquée.

Dois-je m'inquiéter pour le code d'erreur MEMORY_MANAGEMENT ?

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 16:54

Tu l'as encore ou s'était juste lors du lancement du mode sans échec ?

1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
6 sept. 2022 à 16:58

Je l'ai encore eu à nouveau quand j'ai redémarré l'ordinateur pour désinstaller FRST et relancé l'ordinateur.

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
Modifié le 6 sept. 2022 à 17:26

Vu que c'est arrivé avant de désinstaller RAV via le script FRST je pensais que c'était RAV qui avait provoqué ce bug ponctuel lors du démarrage en mode sans échec, cela est fréquent venant d'un antivirus tel que RAV.

Les causes de ce BSOD peuvent être multiples, difficile de te dire exactement quel est le problème, cela peut venir d'un pilote, d'une barrette de RAM défectueuse etc etc....

Regarde cette page.

Tu peux aussi vérifier si tous les pilotes de ton pc sont bien à jour, je te conseille de poser la question dans le forum Windows 11 car cela dépasse le cadre du forum virus/sécurité.

Pour mettre à jour tes pilotes vu que tu as apparemment un Dell Inspiron 5680 si c'est bien le cas fait une recherche automatique via sur le site de DELL.

1
AcGriffon Messages postés 24 Date d'inscription mardi 6 septembre 2022 Statut Membre Dernière intervention 13 mars 2023
6 sept. 2022 à 17:20

Merci beaucoup pour ton aide et tes conseils

0
bazfile Messages postés 56635 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 19 325
6 sept. 2022 à 18:12

De rien.

@+ sur CCM.

0