Forum d'Entraide Informatique (FEI)

Bonjour
je suis nouveau sur le forum. Jeune retraité, je vais pouvoir me consacrer à tout ce que je n'ai pu faire jusqu'à présent par faute de temps ou d'énergie. Merci à tous pour votre entraide et bien le bonjour à la communauté.
Sur mon ordi j'ai découvert un programme qui ne me plait pas : Sophos. Cela fait plusieurs semaines que je décortique le web pour comprendre et tenter de le virer. Mais il est bien incrusté le "salopard"
voila il faut désactiver la protection antialtération... je ne comprends pas comment et ou prendre le mot de passe pour ce faire.
Quelqu'un peut il me donner des tuyaux svp ?

Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.

merci pour ce post, je prends le temps de tout lire en détail
je reviens vers vous dès que possible

bonjour
trouves ci joint la première analyse (j'ai copié tout le texte dans word, le fichier originel me propose du HTLM)
peux tu expliquer :
..."avec l'aide de CJoint, cochez Privée et 21 jours...
je ne comprends pas la signification !
je ne suis pas habitué des forum, et mes connaissances se limitent à la bureautique ... mais je fais des efforts !!!

j'ai un message du forum qui me dit : "L’extension txt n’est pas autorisée." comment te faire parvenir l'analyse???

Hello

Courte incruste

Vous avez dans le lien que vous a donné Didier une démo animée, il faut lire complétement les procédures !

Je vous remets cette démo : https://forum.pcastuces.com/img/3c0741f ... 03fc36.gif

.

https://www.cjoint.com/c/NKDrYRFJFwO
voici le lien de l'analyse ZHP

https://www.cjoint.com/c/NKDsjanLmUO
https://www.cjoint.com/c/NKDskckjcoO
https://www.cjoint.com/c/NKDskXGLCAO

et les trois suivants demandés pour FRST

merci à vous.

L'expérience est le nombre de fois ou je me trompe, je peux vous assurez de ma grande expérience !!!

je regarde tes rapports et reviens vers toi

on va faire un petit nettoyage avant de s'occuper de sophos

Si Firefox est votre navigateur, sauvegardez vos marques page , tuto =>

https://support.mozilla.org/fr/kb/re ... rque-pages

Lance Farbar



Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1119209502-176514848-3354193489-1016\...\Run: [] => [X]
U0 SR; pas de ImagePath
U2 srservice; pas de ImagePath
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
FirewallRules: [{E0896B6C-9A6A-4932-855C-D8F57F79ED4C}] => (Allow) C:\Program Files (x86)\baramundi\BMA\bma.exe => Pas de fichier
FirewallRules: [{413496E2-8A67-4BC4-81AB-139BAC7888D0}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{288C50EE-E810-4EA3-84FB-17279FA53197}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{F475AB7B-03F2-450D-B48E-9CE2B1ABEF14}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{A1CDA7A4-1167-4847-B0BC-1E2B6AD45C12}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{EE8094CF-E085-46ED-9BAF-98C1B04DC363}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{E4144CEA-46BA-4E22-9060-D140B35C8801}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{5FD5176F-9AAB-418C-831F-40B6178F0822}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{8FBCFE75-14E6-4B6B-B3B2-16329050FFAB}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{2157B9F0-5B5B-4B48-AB31-0F5FD26B38EC}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{6D76B19E-59D2-4F69-BE69-2FAEE3B74208}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{24E3332A-162F-4DBE-AAA3-41F7DFF5A66A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{EFD4484B-3918-4A43-8B7B-FDC90632690E}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{413496E2-8A67-4BC4-81AB-139BAC7888D0}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{288C50EE-E810-4EA3-84FB-17279FA53197}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{F475AB7B-03F2-450D-B48E-9CE2B1ABEF14}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{A1CDA7A4-1167-4847-B0BC-1E2B6AD45C12}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{EE8094CF-E085-46ED-9BAF-98C1B04DC363}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{E4144CEA-46BA-4E22-9060-D140B35C8801}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{5FD5176F-9AAB-418C-831F-40B6178F0822}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{8FBCFE75-14E6-4B6B-B3B2-16329050FFAB}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{2157B9F0-5B5B-4B48-AB31-0F5FD26B38EC}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{6D76B19E-59D2-4F69-BE69-2FAEE3B74208}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{24E3332A-162F-4DBE-AAA3-41F7DFF5A66A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{EFD4484B-3918-4A43-8B7B-FDC90632690E}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{E36038B4-E76D-43E6-9C5E-C2F8473017D8}] => (Allow) C:\Users\JPEmery\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
FirewallRules: [{342A0B0F-0AB2-4CEB-9C80-A1F6F1BEFD15}] => (Allow) C:\Users\JPEmery\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
O43 - CFD: 14/11/2023 - [] D -- C:\ProgramData\SecuritySuite
O43 - CFD: 14/11/2023 - [] -- C:\WINDOWS\System32\Config\systemprofile\AppData\Roaming\TotalAV
C:\ProgramData\SecuritySuite
[HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT\]:DontReportInfectionInformation="1"
[HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT]:DontReportInfectionInformation="1"
StartBatch:
For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
Endbatch:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

bonjour, ci joint les fichiers d'analyse
https://www.cjoint.com/c/NKEkRw1b73O
https://www.cjoint.com/c/NKEkUBll6iO

tu remets frst et addition

je t'ai demandé fixlog le correctif

bonjour
désolé pour mon interprétation , la ligne est une consigne, j'ai vue une explication du programme au dessus !

j'ai cherché plusieurs fois comment utiliser Farbar pour obtenir le rapport Fixlist
après plusieurs tentative j'ai enfin appuyé successivement sur analyser et corriger, ce qui donne le résultat attendu !
( si je regarde bien ils sont en surbrillance tous les deux, il fallait juste décoder correctement de ma part)

trouves ci joint le rapport fixlist
https://www.cjoint.com/c/NLbh5mOBlLO

merci , que cela révèle t'il svp ?

c'est le bon rapport fixlog


on passe a sophos

ceci https://www.revouninstaller.com/revo-un ... -download/ prend la verssion free portable

aide
https://www.youtube.com/watch?v=Rt2K0XepFFM

ok pour le logiciel et son utilisation,
toujours le même résultat bloquant : désactiver l'anti altération !!!

ci joint copie écran
https://www.cjoint.com/c/NLbuJJxXRSO

merci
que retire tu comme info du rapport précédent svp ?

1/que retires tu du rapport précedent

on a fait un petit nettoyage superflus pum

Lance farbar

copie dans le cadre rouge de farbar



SearchAll: Sophos

chercher fichier

héberge le rapport search.txt

bonsoir
ci joint l'analyse search

https://www.cjoint.com/c/NLbw0E52LEO

une question tu as passé revo en mode avancé?

avant d'avoir search

bonjour
j'ai fait les choses dans l'ordre que tu demandais. Mais je bricole sur le sujet depuis plusieurs mois; Je ne pense pas avoir utilisé revo avant .

pour ton message anri alteration

https://docs.sophos.com/central/custome ... index.html

tu as essayé cà?

bonjour
non je n'ai pas connaissance de ceci, que dois je faire , l'appliquer svp ?

par contre j'ai déja lu des infos à propos de sophos central, je n'ai jamais compris ou le trouver c'est ce qui explique ma question sur le forum et le sujet sur lequel nous travaillons.
merci de ton retour

il est dit dans l'article cité :

Allez dans Mes produits > Paramètres généraux > Protection antialtération.

ou sont : mes produits ?????

merci, toujours pareil , impossible d'avancer à cause de antialtération

https://www.cjoint.com/c/NLcqonxB8KO

bonjour
je ne visualise pas sur la fenêtre de commande le mode sans échec, j'ai parcouru toutes les options, j'ai vu un mode chasseur !!! je ne vois pas de mode sans échec, éclaire moi ?

https://www.cjoint.com/c/NLeknHOmhbO

je parlais de windows les antivirus ne sont pas encore chargés

aide:
https://www.malekal.com/demarrer-mode-s ... ows-10-11/

est ce tu as toujours le problème altération qui gène??

@+

ok, j'ai compris pour le mode sans échec
l'appli revo ne peut créer un point de restauration dans ce mode
puis le message est toujours identique pour la protection anti altération, après lancement de revo

decoche la case

gimp est un exemple



et continue revo

bonjour
demarrage win mode sans echec, ouverture de revo select sophos
décocher "point de restauration"
apparition immédiate de "anti altération " qui bloque le processus ...

merci de ta patience

Vu la longueur du rapport search

faire un script prendra bcp de temps

une question

sais tu aller dans la base de registre seul?

ou avec une aide

oui avec regedit et un peu d'aide, c'est faisable

j'ai fait une recherche sophos avec regedit

https://www.cjoint.com/c/NLetTZYYVlO

pour les cles on verra après il y en a un mont dans search

ceci


En mode sans échec IMPERATIF

Lance Farbar



Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Health\SophosHealth.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsAgent.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsClient.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sdcservice.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_filter.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Clean\SophosCleanM64.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Endpoint Defense\SEDService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Endpoint Defense\SSPService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Live Query\SophosLiveQueryService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Safestore\SophosSafestore64.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Sophos File Scanner\SophosFS.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Sophos Network Threat Protection\SophosNtpService.exe
(services.exe ->) (Sophos Ltd -> SurfRight B.V.) C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe
R2 hmpalertsvc; C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe [3124480 2022-04-19] (Sophos Ltd -> SurfRight B.V.)
R2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [308112 2021-07-07] (Sophos Ltd -> Sophos Limited)
R2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [216728 2021-07-07] (Sophos Ltd -> Sophos Limited)
R2 SntpService; C:\Program Files\Sophos\Sophos Network Threat Protection\SophosNtpService.exe [9517912 2022-01-25] (Sophos Ltd -> Sophos Limited)
R2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [820168 2023-02-07] (Sophos Ltd -> Sophos Limited)
R2 Sophos Clean Service; C:\Program Files\Sophos\Clean\SophosCleanM64.exe [1481160 2021-10-01] (Sophos Ltd -> Sophos Limited)
R3 Sophos Device Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sdcservice.exe [622688 2021-07-07] (Sophos Ltd -> Sophos Limited)
R2 Sophos Endpoint Defense Service; C:\Program Files\Sophos\Endpoint Defense\SEDService.exe [3667888 2021-12-13] (Sophos Ltd -> Sophos Limited)
R2 Sophos File Scanner Service; C:\Program Files\Sophos\Sophos File Scanner\SophosFS.exe [1134104 2022-01-17] (Sophos Ltd -> Sophos Limited)
R2 Sophos Health Service; C:\Program Files (x86)\Sophos\Health\SophosHealth.exe [1555024 2021-10-05] (Sophos Ltd -> Sophos Limited)
R2 Sophos Live Query; C:\Program Files\Sophos\Live Query\SophosLiveQueryService.exe [3473328 2021-10-01] (Sophos Ltd -> Sophos Limited)
R2 Sophos MCS Agent; C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsAgent.exe [1290536 2022-01-17] (Sophos Ltd -> Sophos Limited)
R2 Sophos MCS Client; C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsClient.exe [1432600 2022-01-17] (Sophos Ltd -> Sophos Limited)
R2 Sophos Safestore Service; C:\Program Files\Sophos\Safestore\SophosSafestore64.exe [3631336 2021-10-01] (Sophos Ltd -> Sophos Limited)
R2 Sophos System Protection Service; C:\Program Files\Sophos\Endpoint Defense\SSPService.exe [11898424 2021-12-13] (Sophos Ltd -> Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [351336 2020-11-25] (Sophos Ltd -> Sophos Limited)
R2 swi_filter; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_filter.exe [483680 2021-03-23] (Sophos Ltd -> Sophos Limited)
R2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3608056 2021-03-23] (Sophos Ltd -> Sophos Limited)
R1 SAVOnAccess; C:\WINDOWS\System32\DRIVERS\savonaccess.sys [216280 2020-11-25] (Sophos Ltd -> Sophos Limited)
S3 sdcfilter; C:\WINDOWS\system32\DRIVERS\sdcfilter.sys [38144 2020-11-25] (Sophos Limited -> Sophos Limited)
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+

Bonjour
surprenant, aussitôt lancé, il me demande le redémarrage de l'ordi !
à priori il y a un rapport fixlog à enregistrer au redémarrage

https://www.cjoint.com/c/NLfoA6VVviO

merci

je vais recommencé clés verrouillées processus actif .....etc

pendant ce temps fais ceci

windows+ r
tapes cmd

dans l'invites de commande

colle tasklist | findstr /i "Sophos"

apres c:\users\admin

valides entrée

fais moi une capture des processus trouvés

@+

Hello

Courte incruste pour vérification.

Suivre ce chemin avec Regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

Verifiez que la valeur dans tamperProtection est (0) , si ce n' est pas le cas double clic sur TamperProtectionet réglez la valeur à 0 , puis OK
Redemarrez pour prise en compte

Bonne suite

Hello Gérard

impossible a modifier chez moi build 19045

bonsoir
ci joint le lien pour cmd_tasklist

cela ne se passe pas comme décrit, mais il y a un résultat

https://www.cjoint.com/c/NLfs3Ex2mdO

concernant la valeur TamperProtection
elle est à 0, quand je clique sur Tamper une fenêtre s'ouvre avec une valeur de 0


https://www.cjoint.com/c/NLfs7QsIkZO