FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par jpe18
#216613
Bonjour
je suis nouveau sur le forum. Jeune retraité, je vais pouvoir me consacrer à tout ce que je n'ai pu faire jusqu'à présent par faute de temps ou d'énergie. Merci à tous pour votre entraide et bien le bonjour à la communauté.
Sur mon ordi j'ai découvert un programme qui ne me plait pas : Sophos. Cela fait plusieurs semaines que je décortique le web pour comprendre et tenter de le virer. Mais il est bien incrusté le "salopard"
voila il faut désactiver la protection antialtération... je ne comprends pas comment et ou prendre le mot de passe pour ce faire.
Quelqu'un peut il me donner des tuyaux svp ?
Avatar du membre
par did80
#216614
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

https://forum.pcastuces.com/procedure_a ... f26s60.htm

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection


Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.

En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient

PS Il est demandé de télécharger tous les logiciels et scripts sur le Bureau, de poster des rapports au format .txt ( impératif) avec l'aide de CJoint, cochez Privée et 21 jours.
je ferai désinstaller les outils en fin de désinfection. Ne pas désinstaller antérieurement Merci.
Avatar du membre
par jpe18
#216618
bonjour
trouves ci joint la première analyse (j'ai copié tout le texte dans word, le fichier originel me propose du HTLM)
peux tu expliquer :
..."avec l'aide de CJoint, cochez Privée et 21 jours...
je ne comprends pas la signification !
je ne suis pas habitué des forum, et mes connaissances se limitent à la bureautique ... mais je fais des efforts !!!

j'ai un message du forum qui me dit : "L’extension txt n’est pas autorisée." comment te faire parvenir l'analyse???
Avatar du membre
par did80
#216625
on va faire un petit nettoyage avant de s'occuper de sophos

Si Firefox est votre navigateur, sauvegardez vos marques page , tuto =>

https://support.mozilla.org/fr/kb/re ... rque-pages

Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1119209502-176514848-3354193489-1016\...\Run: [] => [X]
U0 SR; pas de ImagePath
U2 srservice; pas de ImagePath
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
FirewallRules: [{E0896B6C-9A6A-4932-855C-D8F57F79ED4C}] => (Allow) C:\Program Files (x86)\baramundi\BMA\bma.exe => Pas de fichier
FirewallRules: [{413496E2-8A67-4BC4-81AB-139BAC7888D0}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{288C50EE-E810-4EA3-84FB-17279FA53197}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{F475AB7B-03F2-450D-B48E-9CE2B1ABEF14}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{A1CDA7A4-1167-4847-B0BC-1E2B6AD45C12}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{EE8094CF-E085-46ED-9BAF-98C1B04DC363}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{E4144CEA-46BA-4E22-9060-D140B35C8801}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{5FD5176F-9AAB-418C-831F-40B6178F0822}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{8FBCFE75-14E6-4B6B-B3B2-16329050FFAB}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{2157B9F0-5B5B-4B48-AB31-0F5FD26B38EC}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{6D76B19E-59D2-4F69-BE69-2FAEE3B74208}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{24E3332A-162F-4DBE-AAA3-41F7DFF5A66A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{EFD4484B-3918-4A43-8B7B-FDC90632690E}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{413496E2-8A67-4BC4-81AB-139BAC7888D0}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{288C50EE-E810-4EA3-84FB-17279FA53197}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360_cl.exe => Pas de fichier
FirewallRules: [{F475AB7B-03F2-450D-B48E-9CE2B1ABEF14}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{A1CDA7A4-1167-4847-B0BC-1E2B6AD45C12}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\photoview\photoview360.exe => Pas de fichier
FirewallRules: [{EE8094CF-E085-46ED-9BAF-98C1B04DC363}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{E4144CEA-46BA-4E22-9060-D140B35C8801}] => (Allow) C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe => Pas de fichier
FirewallRules: [{5FD5176F-9AAB-418C-831F-40B6178F0822}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{8FBCFE75-14E6-4B6B-B3B2-16329050FFAB}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{2157B9F0-5B5B-4B48-AB31-0F5FD26B38EC}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{6D76B19E-59D2-4F69-BE69-2FAEE3B74208}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => Pas de fichier
FirewallRules: [{24E3332A-162F-4DBE-AAA3-41F7DFF5A66A}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{EFD4484B-3918-4A43-8B7B-FDC90632690E}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{E36038B4-E76D-43E6-9C5E-C2F8473017D8}] => (Allow) C:\Users\JPEmery\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
FirewallRules: [{342A0B0F-0AB2-4CEB-9C80-A1F6F1BEFD15}] => (Allow) C:\Users\JPEmery\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
O43 - CFD: 14/11/2023 - [] D -- C:\ProgramData\SecuritySuite
O43 - CFD: 14/11/2023 - [] -- C:\WINDOWS\System32\Config\systemprofile\AppData\Roaming\TotalAV
C:\ProgramData\SecuritySuite
[HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT\]:DontReportInfectionInformation="1"
[HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT]:DontReportInfectionInformation="1"
StartBatch:
For /D %%d In ("%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\*") Do (If Exist "%%d\Cache2" Del /s /q "%%d\Cache2\*.*")
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
Endbatch:
C:\Windows\Temp\ *.*
C:\Users\CurrentUserName\Appdata\Local\Temp\ *.*
C:\Windows\SoftwareDistribution\Download\ *
EmptyTemp:
cmd: dism.exe /online /cleanup-image /restorehealth
cmd: sfc /scannow
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par jpe18
#216638
bonjour
désolé pour mon interprétation , la ligne est une consigne, j'ai vue une explication du programme au dessus !

j'ai cherché plusieurs fois comment utiliser Farbar pour obtenir le rapport Fixlist
après plusieurs tentative j'ai enfin appuyé successivement sur analyser et corriger, ce qui donne le résultat attendu !
( si je regarde bien ils sont en surbrillance tous les deux, il fallait juste décoder correctement de ma part)

trouves ci joint le rapport fixlist
https://www.cjoint.com/c/NLbh5mOBlLO

merci , que cela révèle t'il svp ?
Avatar du membre
par did80
#216651
1/que retires tu du rapport précedent

on a fait un petit nettoyage superflus pum

Lance farbar

copie dans le cadre rouge de farbar

Image

SearchAll: Sophos

chercher fichier

héberge le rapport search.txt
Avatar du membre
par jpe18
#216657
bonjour
j'ai fait les choses dans l'ordre que tu demandais. Mais je bricole sur le sujet depuis plusieurs mois; Je ne pense pas avoir utilisé revo avant .
Avatar du membre
par jpe18
#216661
par contre j'ai déja lu des infos à propos de sophos central, je n'ai jamais compris ou le trouver c'est ce qui explique ma question sur le forum et le sujet sur lequel nous travaillons.
merci de ton retour
Avatar du membre
par jpe18
#216662
il est dit dans l'article cité :

Allez dans Mes produits > Paramètres généraux > Protection antialtération.

ou sont : mes produits ?????
Avatar du membre
par jpe18
#216688
ok, j'ai compris pour le mode sans échec
l'appli revo ne peut créer un point de restauration dans ce mode
puis le message est toujours identique pour la protection anti altération, après lancement de revo
Avatar du membre
par jpe18
#216690
bonjour
demarrage win mode sans echec, ouverture de revo select sophos
décocher "point de restauration"
apparition immédiate de "anti altération " qui bloque le processus ...

merci de ta patience
Avatar du membre
par did80
#216691
Vu la longueur du rapport search

faire un script prendra bcp de temps

une question

sais tu aller dans la base de registre seul?

ou avec une aide
Avatar du membre
par did80
#216698
:bonjour:

pour les cles on verra après il y en a un mont dans search

ceci


En mode sans échec IMPERATIF

Lance Farbar

Image

Copies les lignes suivantes dans le cadre rouge

start::
CloseProcesses:
CreateRestorePoint:
cmd: Net stop wuauserv
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Health\SophosHealth.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsAgent.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsClient.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sdcservice.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_filter.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Clean\SophosCleanM64.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Endpoint Defense\SEDService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Endpoint Defense\SSPService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Live Query\SophosLiveQueryService.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Safestore\SophosSafestore64.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Sophos File Scanner\SophosFS.exe
(services.exe ->) (Sophos Ltd -> Sophos Limited) C:\Program Files\Sophos\Sophos Network Threat Protection\SophosNtpService.exe
(services.exe ->) (Sophos Ltd -> SurfRight B.V.) C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe
R2 hmpalertsvc; C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe [3124480 2022-04-19] (Sophos Ltd -> SurfRight B.V.)
R2 SAVAdminService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe [308112 2021-07-07] (Sophos Ltd -> Sophos Limited)
R2 SAVService; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe [216728 2021-07-07] (Sophos Ltd -> Sophos Limited)
R2 SntpService; C:\Program Files\Sophos\Sophos Network Threat Protection\SophosNtpService.exe [9517912 2022-01-25] (Sophos Ltd -> Sophos Limited)
R2 Sophos AutoUpdate Service; C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe [820168 2023-02-07] (Sophos Ltd -> Sophos Limited)
R2 Sophos Clean Service; C:\Program Files\Sophos\Clean\SophosCleanM64.exe [1481160 2021-10-01] (Sophos Ltd -> Sophos Limited)
R3 Sophos Device Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\sdcservice.exe [622688 2021-07-07] (Sophos Ltd -> Sophos Limited)
R2 Sophos Endpoint Defense Service; C:\Program Files\Sophos\Endpoint Defense\SEDService.exe [3667888 2021-12-13] (Sophos Ltd -> Sophos Limited)
R2 Sophos File Scanner Service; C:\Program Files\Sophos\Sophos File Scanner\SophosFS.exe [1134104 2022-01-17] (Sophos Ltd -> Sophos Limited)
R2 Sophos Health Service; C:\Program Files (x86)\Sophos\Health\SophosHealth.exe [1555024 2021-10-05] (Sophos Ltd -> Sophos Limited)
R2 Sophos Live Query; C:\Program Files\Sophos\Live Query\SophosLiveQueryService.exe [3473328 2021-10-01] (Sophos Ltd -> Sophos Limited)
R2 Sophos MCS Agent; C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsAgent.exe [1290536 2022-01-17] (Sophos Ltd -> Sophos Limited)
R2 Sophos MCS Client; C:\Program Files (x86)\Sophos\Management Communications System\Endpoint\McsClient.exe [1432600 2022-01-17] (Sophos Ltd -> Sophos Limited)
R2 Sophos Safestore Service; C:\Program Files\Sophos\Safestore\SophosSafestore64.exe [3631336 2021-10-01] (Sophos Ltd -> Sophos Limited)
R2 Sophos System Protection Service; C:\Program Files\Sophos\Endpoint Defense\SSPService.exe [11898424 2021-12-13] (Sophos Ltd -> Sophos Limited)
R2 Sophos Web Control Service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe [351336 2020-11-25] (Sophos Ltd -> Sophos Limited)
R2 swi_filter; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_filter.exe [483680 2021-03-23] (Sophos Ltd -> Sophos Limited)
R2 swi_service; C:\Program Files (x86)\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe [3608056 2021-03-23] (Sophos Ltd -> Sophos Limited)
R1 SAVOnAccess; C:\WINDOWS\System32\DRIVERS\savonaccess.sys [216280 2020-11-25] (Sophos Ltd -> Sophos Limited)
S3 sdcfilter; C:\WINDOWS\system32\DRIVERS\sdcfilter.sys [38144 2020-11-25] (Sophos Limited -> Sophos Limited)
cmd: Net start wuauserv
Reboot:
end::

Corrige et heberge le rapport fixlog

@+
Avatar du membre
par did80
#216702
je vais recommencé clés verrouillées processus actif .....etc :x

pendant ce temps fais ceci

windows+ r
tapes cmd

dans l'invites de commande

colle tasklist | findstr /i "Sophos"

apres c:\users\admin

valides entrée

fais moi une capture des processus trouvés

@+
Avatar du membre
par El Magnifico
#216704
Hello

Courte incruste pour vérification.

Suivre ce chemin avec Regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

Verifiez que la valeur dans tamperProtection est (0) , si ce n' est pas le cas double clic sur TamperProtectionet réglez la valeur à 0 , puis OK
Redemarrez pour prise en compte

Bonne suite
Bug PC

Bonjour Nicouille04 Vous avez un CHKDSK qui se[…]

Il y a très peu d'applications mobiles de j[…]

désinstaller sophos

désolé mais on ne va pas y arriver […]

Game

Je suis vraiment satisfait des différentes […]