Sujet Précédent Sujet Suivant

Protection contre les ransomwares : Accès bloqué...

Fermé
CLB - Modifié le 1 juin 2022 à 18:32
bazfile Messages postés 54300 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 mai 2024 - 3 juin 2022 à 14:33
Bonjour,

Je sollicite votre aide car j'essaye actuellement de rétablir mon ordinateur tournant sous Windows 10 dans un état normal, après une attaque au ransomware. J'ai d'abord réinitialisé les données de mon ordinateur.

J'ai notamment le problème suivant : tous les fichiers de ma session administrateur sont bloqués en lecture seule. J'ai échoué à faire fonctionner tout ce que qu'internet avait à proposer jusque là (y compris me créer une seconde session administrateur). Je tente actuellement d'accéder aux paramètres de protection contre les ransomware de la Sécurité Windows, qui pourraient, selon certains forums, être à la source du problème.

Or, quand je tente d'ouvrir cette page en particulier de la sécurité windows, je reçois le message d'erreur suivant : "Page non disponible - Votre administrateur informatique a limité l'accès à certaines zones de l'application et l'élément auquel vous avez essayé d'accéder n'est pas disponible. Contactez le support technique pour plus d'informations."

Le message d'erreur n'est pas rare, mais il me semble que ce genre de problème doit être réglé au cas par cas, d'où mon message. Il faut savoir qu'Avast est activé sur mon ordinateur, mais je soupçonne le ransomware d'avoir en quelque sorte laissé des traces.

J'aimerais trouver la solution pour débloquer cette page de la sécurité windows, pour ensuite en changer les paramètres pour que mes fichiers ne restent pas bloqués en lecture seule.

Pour être complet, j'ai réalisé un rapport avec l'outil FRST, dont voici les fichiers texte :

FRST.txt : https://www.cjoint.com/c/LFbpj4W6dQ1
Addition.txt : https://www.cjoint.com/c/LFbpkAOX3S1
Shortcut.txt : https://www.cjoint.com/c/LFbpk3fdVL1

Ainsi qu'avec ZHPSuite :

ZHPdiag.txt : https://www.cjoint.com/c/LFbpw7Z3pV1


Dans l'attente de vos réponses, je vous souhaite une bonne journée :)

1 réponse

Réponse 1 / 1
bazfile Messages postés 54300 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 mai 2024 18 664
1 juin 2022 à 21:39
Bonjour.
Ton pc n'est plus infecté c'est normal vu que tu l'as réinitialisé, il y a effectivement une restriction sur Windows Defender, pour le reste ce ne sont que des processus obsolètes.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKU\S-1-5-21-435068587-2153722410-3853644362-1003\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\ClédenAdmin\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-435068587-2153722410-3853644362-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\ClédenAdmin\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-435068587-2153722410-3853644362-1003\...\RunOnce: [Uninstall 19.043.0304.0013\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\ClédenAdmin\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64" (Pas de fichier)
HKU\S-1-5-21-435068587-2153722410-3853644362-1003\...\RunOnce: [Uninstall 19.043.0304.0013] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\ClédenAdmin\AppData\Local\Microsoft\OneDrive\19.043.0304.0013" (Pas de fichier)
Task: {00351268-9EF0-4A88-A09D-0DF3D231A083} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_Display -> Pas de fichier 
Task: {309165FA-8FE4-4DBF-B93C-1474411C7B25} - \Microsoft\Windows\UpdateOrchestrator\Policy Install -> Pas de fichier 
Task: {317107BF-13F6-48B4-AA5A-BA0B03A02F4B} - \Microsoft\Windows\ErrorDetails\EnableErrorDetailsUpdate -> Pas de fichier 
Task: {438ee5da-a4ce-4eba-8c29-3ad63ef0afb8} - pas de chemin du fichier
Task: {45AD9D98-D658-4B68-89DD-F41E23EB18FF} - \Microsoft\Windows\UpdateOrchestrator\Maintenance Install -> Pas de fichier 
Task: {48A98229-5C8E-4DDD-8139-CF35F7262A95} - \Microsoft\Windows\Plug and Play\Plug and Play Cleanup -> Pas de fichier 
Task: {5587F1DC-15D0-4331-A673-6EF75E5CD9C0} - \Microsoft\Windows\AppID\SmartScreenSpecific -> Pas de fichier 
Task: {71E53243-3A2D-47EE-9DAB-6D71B2366657} - \Microsoft\Windows\ErrorDetails\ErrorDetailsUpdate -> Pas de fichier 
Task: {7204A0E9-83CE-4F8B-A0A0-B131FB057CF9} - \Microsoft\Windows\EnterpriseMgmt\MDMMaintenenceTask -> Pas de fichier 
Task: {C349BB67-3672-4975-AE02-517BAD9318EE} - \Microsoft\Windows\WindowsUpdate\sih -> Pas de fichier 
Task: {D7F0B8FE-65C2-4D7B-AAC3-2F3BE65EA6EB} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_ReadyToReboot -> Pas de fichier 
CustomCLSID: HKU\S-1-5-21-435068587-2153722410-3853644362-1001_Classes\CLSID\{D0E646DB-70D6-4D13-BF56-02CA96FACE5C}\InprocServer32 -> LptdS3.dll => Pas de fichier
FirewallRules: [{38146416-C751-47A6-81B4-8DD00A3DB3EB}] => (Allow) C:\Program Files (x86)\Overwolf\0.195.0.18\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{9AC4D6B8-A714-4C3C-B148-E21455807D0D}] => (Allow) C:\Program Files (x86)\Overwolf\0.195.0.18\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{7EFC2EFB-B0BF-4EED-98EC-628F0B3FDA38}] => (Block) C:\Program Files (x86)\Overwolf\0.195.0.18\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{C8C6C6A9-0830-491B-A680-C4FE341E2BF8}] => (Block) C:\Program Files (x86)\Overwolf\0.195.0.18\OverwolfBrowser.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- Ta version de Windows 10 n'est pas à jour, vu ce que tu dis dans ton premier message le mieux c'est une réparation de Windows 10 sans perte de données (tout est conservé), cela réparera Windows 10 et le mettra à jour.
Pour cela :
Télécharge cet outil de Microsoft ouvre l'outil et fait comme indiqué ci-dessous:




6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
0
CLB
Modifié le 3 juin 2022 à 14:29
Bonjour,

Merci pour ta réactivité, j'ai utilisé le script via FRST puis réparé et mis à jour Windows 10, malheureusement le problème rencontré subsiste à l'identique...

Voilà le fichier fixlog : https://www.cjoint.com/c/LFcmZICpe41

Bonne journée !
0
bazfile Messages postés 54300 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 mai 2024 18 664 > CLB
Modifié le 3 juin 2022 à 14:54
Le fixlog est OK, ton pc n'étant pas infecté il n'y a rien à faire de plus du moins pour ce qui concerne le forum Virus/Sécurité.
Tu peux éventuellement sauvegarder tes documents (photos, vidéos, documents divers etc etc.....) et faire ceci https://www.malekal.com/remettre-zero-windows-10-pc/
Voilà pour ma part ce sera tout.
0

Discussions similaires

Rav antivirus
cavalier33 -
cavalier33 -

2 réponses
Anti-virus qui s'installe tout seul...
Lo_fadoli -
Beuq -

7 réponses
Rav antivirus trouve un virus mais...
sen -
balltrap34 -

11 réponses
Rav antivirus
la gribouille -
claire -

15 réponses
comment contourner le drm ?
flyblue -
flyblue -

2 réponses