Processeur saturé

Bonjour,

Connaissez vous RegRun Reanimator, pour faire des scans rapides et détecter des choses hazardeuses (Pas au hazard mais...) ?

Et Autoruns for Windows pour gérer les démarrages automatiques ?

@+

Merci de votre réponse, non pas du tout je suis très faible en informatique.

apparemment autorun ressemble à msconfig et regrun reanimator est un autivirus?

RegRun est un "Toolkit" pour détecter des choses malsaines, des choses aussi graves que Rootkits, jusqu'au choses aussi banales que les plugins et notifications navigateur, politiques anti Defender etc.

Si vous voulez nettoyer avec RegRun Reanimator, le télécharger sur le site officiel

https://greatis.com/security/reanimator.html

Cliquez sur Fix Problems et ensuite sur Fix Malware Issues

Attention, il détecte des éléments possiblement hasardeux, des fois bons, des fois mauvais mais des fois importants aussi, il est important de bien trier, par déductions ou recherches Internet et/ou analyses VirusTotal pour ne supprimer que des virus ou inutiles.

Il faut regarder dans les onglets en haut pour les différents types d'items vus.

Il montre des détails comme les types, les noms et la localisation des fichiers etc. ce qui sert des indices souvent concrets.

Qu'un élément soit marqué en rouge (Souvent mauvais), jaune, bleu ou vert, c'est l'utilisateur/utilisatrice qui doit juger de la pertinence de ce qu'il détecte.

Vous pouvez utiliser le clic droit > Copy to Clipboard (Presse papier) pour copier le texte des détections. (Ça aide dans les recherches)

Cocher les items à supprimer et non les autres et cliquer sur le bouton rouge pour les supprimer, et confirmer, continuer en cliquant sur Next dans toutes les onglets ou il y a des éléments détectés.

Puis à Finish! cliquer sur le bouton "Restart is Required" pour redémarrer Windows.

-

Puis pour Autoruns, c'est surtout les onglets Logon, Scheduled Tasks, et Services qui nous intéressent.

Si vous voulez inspecter et faire le ménage dans les processus inutiles en démarrage automatique avec Autoruns et Services.msc

Télécharger Autoruns ici, extraire tout dans un nouveau dossier n'importe ou, et l'exécuter en tant qu'administrateur.

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

Si messages d'erreurs, essayer la version 13.98

https://filehippo.com/fr/download_autoruns/13.98/

Regarder tous les détails, faire des recherches.

Dans les onglets "Logon" (Registre Run, Démarrage) et "Scheduled Tasks" (Tâches planifiées), désactiver ou supprimer du démarrage automatique des éléments tiers inutiles pas de Microsoft ou Windows importants, soit en les décochant, ou par clic droit > Delete.

Regarder l'onglet "Services", mais ne pas les désactiver si parfois utiles, c'est mieux de les passer en mode "Manuel" (À la demande) avec services.msc de Windows, par clic droit sur le bouton Démarrer > Exécuter: services.msc

Avec Autoruns on a la liste des services Non-Windows, ça aide.

Les changements seront pris en compte en redémarrant Windows.

En principe votre Windows devrait fonctionner comme jamais auparavant, si vous n'avez que des processus Microsoft ou presque.

oups un peu compliqué pour moi, je les ai téléchargés mais suis frileux pour les utiliser. je vous envois des copie d'écran.

Regrun Reanimateur m'a trouvé un truc je sais pas si c grave

Vos captures d'écran sont trop petites et brouillées, j'ai de la misère à voir.

Les onglets en haut,

Il y a "Logon" (Registry Run + dossier Démarrage) et "Scheduled Tasks" (Tâches planifiées), qui nous intéressent.

Décochez tout ce qui n'est pas de provenance Microsoft ou Windows, ou dont vous ne voyez pas Microsoft nulle part dans "Publisher" ou Microsoft ou Windows ou le chemin dans ces deux onglets. * Ne touchez pas à "Installed Components"

Prenez le temps qu'il faut.

Après vous pourrez voir pour les services, les passer en Manuel plutôt qu'Automatique avec services.msc de Windows

@+

regrun reanimator a trouve  un virus dans powershell.exe, dans:

Powershell.exe c:\windows\system32\windowspowershell\v1.0\powershell.exe

je suppose que je ne peux pas supprimer ce fichier mais est ce que je peux coopier celui d'un autre pc pour le remettre sur le mien?

Si vous n'utilisiez pas PowerShell vous même à cet instant

Je redirige votre sujet dans la section Virus, ne faites plus rien à part deux rapports FRST comme suggéré ici

(Puis nous donner les liens pour qu'on puisse les consulter).

https://forums.commentcamarche.net/forum/affich-38063320-a-lire-avant-toute-demande-de-desinfection

voici les 2 rapports

https://www.cjoint.com/c/NKzwxTwV5Wz

https://www.cjoint.com/c/NKzwyvRzF8z

Re Bonjour, si @bazfile StatutModérateur, Contributeur sécurité que je salue passe par ici, il restera à suivre ses instructions.

Bonne journée,

@+

Bonjour @jld272 StatutMembre et @fabul StatutModérateur .

Ne télécharge plus de logiciels piratés comme par exemple Adobe.Lightroom et tu verras ça ira mieux.

Le pc est infecté par un trojan coin miner, en résumé ton pc sert à miner des crypto-monnaies au bénéfice d'un pirate, cela a pour conséquence d'utiliser à outrance toutes les ressources de ton pc, pour supprimer l'infection fait ce qui suit.

Pour information :

Une fois la désinfection terminée, je te conseille vivement de changer les mots de passe en ligne qui sont sensibles et importants pour toi.

Désinfection.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [APSDaemon] => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" (Pas de fichier)
HKU\S-1-5-21-3326121687-547004056-839156257-1001\...\Run: [NoxMultiPlayer] => "D:\Program Files\Nox\bin\MultiPlayerManager.exe" -startSource:auto_start (Pas de fichier)
HKU\S-1-5-21-3326121687-547004056-839156257-1001\...\Run: [Web Companion] => C:\Users\jean-luc\AppData\Roaming\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Pas de fichier) 
Task: {9793D820-A0FB-4E10-807C-5B5DD45E26E9} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\jean-luc\AppData\Roaming\Winsoft\core.ps1
Task: {26D53BFB-DACD-4DC2-A89E-14D47B0DCE76} - System32\Tasks\ViGEmBusUpdater1 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 WsDrvInst; C:\Program Files (x86)\Wondershare\TunesGo\DriverInstall.exe [X]
S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] 
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
S3 wacomrouterfilter; \SystemRoot\System32\drivers\wacomrouterfilter.sys [X]
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Pas de fichier
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Pas de fichier
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Pas de fichier
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Pas de fichier
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Pas de fichier
AlternateDataStreams: C:\ProgramData\TEMP:B0177106 [132]
AlternateDataStreams: C:\ProgramData\TEMP:B6AC352B [135]
AlternateDataStreams: C:\ProgramData\TEMP:FC967ADA [159]
C:\Users\jean-luc\AppData\Roaming\Winsoft
C:\WINDOWS\core.ps1
C:\Windows\svshost.exe
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

J'ai été obligé de créer un fichier Fixlist.txt dans le même répertoire que FST et d'y copier la liste sinon il me disait qu'il n'avait pas de liste.

voici le fichier mais apparemment Lightroom est toujours aussi lent.

Le processeur fonctionne toujours à 100% avec Lightroom.

https://www.cjoint.com/c/NKAqM0g2R2z

Le processeur fonctionne toujours à 100% avec Lightroom.

Ton Lightroom n'est pas officiel mais piraté,  possible que tu réactives l'infection en l'utilisant. 

À part quand tu utilises Lightroom, ton pc est-il toujours lent?

Fait une nouvelle analyse FRST et donne les liens des deux rapports.

https://www.cjoint.com/c/NKAsviNiEnz

https://www.cjoint.com/c/NKAsvLmaH8z

apparemment a part Lightroom et quand je fais un copier/coller il mouline, sinon le reste a l'air de fonctionner.

J'ai déja mis un post la dessus. ici:

https://forums.commentcamarche.net/forum/affich-38126140-probleme-avec-copier-coller-des-fichier-multimedias?7Ku2u2KZhSHP1nvDQparbQuR1M_9Lp2r0ikWKcP5eHc

Windows Defender ne détecte rien, a part le fichier setup.exe de l'installation de Lightroom mais je il me l'avais viré et je l'ai installé avec l'autre setup de l’installation.

@jld272 StatutMembre .

Vu que ton processeur est à 100% que quand tu utilises Lightroom c'est que le problème c'est Lightroom.

Il n'y a plus d'infection sur ton pc, le script FRST a bien tout supprimé, à toi de ne plus utiliser des logiciels piratés, car comme je te l'ai dit précédemment ton pc ne s'en portera que mieux.

Pour ce qui est du forum sécurité ce sera tout, ton pc étant désinfecté je met le post en résolu.

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

merci du coup de main, est ce que mon problème de copier/coller venait aussi de là?

PS: Mon FRST n'est pas installé c'est un simple fichier .exe exécutable, je n'ai donc rien à désinstaller.