Informatique

Bonjour,

Je vais essayer d'être concis et de mettre les détails plus bas.

De manière inopinée, Windows Défendeur est modifié dans l'éditeur de registre et est paramétré par des valeurs qui relèvent clairement d'un virus (voire image jointe) ce qui m'empêche d'accéder à "Protection contre les virus et menaces" dans "Sécurité windows".

Or après plusieurs scans (Malwarbytes, AdwCleaner, tdsskiller et windwos defender) impossible de détecter un virus.

Pour le moment le seul moyen que j'ai pour régler le soucis est de supprimer ses paramétrages, mais ils reviennent de manière aléatoire ce qui me fait penser qu'un script se lance (parfois une fenêtre cmd s'ouvre donc c'est encore plus probable).

Auriez vous un moyen de faire un scan plus approfondi ou d'arriver à retrouver d'où se lance le script ? (ou autre solution) Merci

Pour les détails :

Il faut savoir que ce problème dur depuis quelques semaines et que mes premiers scans avaient révélé la présence d'un PUP du nom de Restoro que j'ai mis en 40ene puis supprimé via Malwarbytes, mais aussi via AdwCleaner et Revo Unistaller vu qu'il s'est représenté à d'autres reprise. Cependant comme dit plus haut maintenant mes scans ne trouvent rien et les changement dans l'éditeur de registre de windows defender sont plus notable que précédemment.

Une solution possible est d'utiliser un outil spécialisé conçu pour détecter et supprimer les entrées de registre malveillantes ou indésirables.
Un tel outil peut analyser le registre à la recherche de toute entrée suspecte qui pourrait avoir été causée par un virus ou un programme malveillant.
Après avoir été identifiés et supprimés, les paramètres de Windows Defender doivent être restaurés à leurs paramètres d'origine.
Cela doit être fait avec soin et prudence, car toute modification de l'éditeur du registre peut avoir un effet immédiat et radical sur les performances et la sécurité de l'ordinateur.

Il existe plusieurs outils spécialisés qui peuvent détecter et supprimer les entrées de registre malveillantes ou indésirables de l'Éditeur du Registre de Windows.

Un exemple est CCleaner, que tu peux utiliser pour analyser l'Éditeur du Registre et le nettoyer de toutes les entrées malveillantes.

Si tu préfères utiliser un autre outil, d'autres choix populaires incluent Glary Utilities et Tzukuri. Cependant, comme mentionné ci-dessus, il est important de faire preuve de prudence lorsque tu apportes des modifications à l'Éditeur du Registre, car cela peut avoir de graves répercussions sur la sécurité et les performances de ton ordinateur.

Slt, fais une demande de désinfection sur https://forums.commentcamarche.net/forum/virus-securite-7
Ils te demanderont de faire la procédure avec le logiciel FRST si ton Windows est encore assez valide.

Sinon, c'est réinstallation.

tu peux déjà vérifier s'il y a un script exécuté au lancement de la session windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\RunOnce des fois aussi ,

vérifie s'il y a pas une tâche planifiée qui lancerait un script et le menu démarrer dans le profil user
C:\Users\xxxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu

Le 06 décembre 2022 à 23:40:16 :
Une solution possible est d'utiliser un outil spécialisé conçu pour détecter et supprimer les entrées de registre malveillantes ou indésirables.
Un tel outil peut analyser le registre à la recherche de toute entrée suspecte qui pourrait avoir été causée par un virus ou un programme malveillant.
Après avoir été identifiés et supprimés, les paramètres de Windows Defender doivent être restaurés à leurs paramètres d'origine.
Cela doit être fait avec soin et prudence, car toute modification de l'éditeur du registre peut avoir un effet immédiat et radical sur les performances et la sécurité de l'ordinateur.

J'ai mis "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager" sur écoute grâce à Process Monitor et EUREKA ! J'ai enfin trouver le logiciel qui me cause du soucis !

Malheureusement (ou heureusement) c'est un processus windows qui s'appelle "deviceenroller.exe" qui n'arrête pas de modifier "Windows Defender\Policy Manager" et plus précisément c'est l'ajout de "\Windows Defender\Policy Manager\AllowUserUIAccess" avec une valeur mise à 0 qui m'empêche d'accéder à "Protection contre les virus" avec le message "Votre administrateur informatique a limité l'accès à certaines zones de cette application et l'élément auquel vous avez essayé d'accéder n'est pas disponible. Contactez le support technique pour plus d'informations."

Je vous joint une capture de Process Monitor :

Comme vous pouvez voir deviceenroller.exe tente d'abord d'ouvrir "\Windows Defender\Policy Manager\AllowUserUIAccess" qui n'existe pas car j'ai vidé "\Windows Defender\Policy Manager" (avant ce soucis il a toujours été vide), puis finalement il le crée et met une valeur de 0 ce qui m'empêche d'interagir avec Microsoft Defender.

Après avoir vérifier les noms des clefs de registre j'ai compris qu'il s'agissait des stratégies de groupe windows. Sauf que j'en ai jamais eu et que je possède Windows 11 Famille donc impossible pour moi d'accéder à la commande "gpedit.msc" qui me permettrait de régler mon souci...

Sauriez vous comment régler le soucis ? Merci beaucoup

ça fait combien que tu as ce problème ? Une restauration système J-x peut résoudre le problème

Le 12 décembre 2022 à 10:21:34 :
ça fait combien que tu as ce problème ? Une restauration système J-x peut résoudre le problème

Maintenant je dirais que ça fait un mois à peu près. La restauration ne va pas affecter mes logiciels ??

Un truc en ligne balèze pour analyser son pc à distance et enlever les virus, c'est "Trend Micro Free Scan", je l'ai utilisé plusieurs fois en dernier recours quand mes antivirus et anti spyware n'arrivaient pas à nettoyer mon pc. C'est gratos en plus.

La manière la plus efficace, c’est de faire tes sauvegardes importantes sur un disque externe, tu formates et tu réinstalle tes logiciels de 0

Au moins tu repart sur quelques chose de propre.

On pense toujours que c’est long mais à force de chercher une solution alternative pour supprimer un virus on finit toujours par y passer plus de temps qu’un simple formatage.

Le 06 février 2023 à 13:32:24 :
La manière la plus efficace, c’est de faire tes sauvegardes importantes sur un disque externe, tu formates et tu réinstalle tes logiciels de 0

Au moins tu repart sur quelques chose de propre.

On pense toujours que c’est long mais à force de chercher une solution alternative pour supprimer un virus on finit toujours par y passer plus de temps qu’un simple formatage.

Exact. En plus, cela permet de ne réinstaller que les logiciels qu'on utilise réellement, pas ceux qu'on a installé un jour et qui n'ont plus d'utilité.

c'est un cas assez intéressant, mon hypothese est que le PC de l'op est joint a un domaine azure ad ce qui a surement été configure comme moyen de persistance par un malware/acteur malicieux.

Un moyen de confirmer cette hypothese serait d'entre la commande "dsregcmd /status"

Salut!
Ca galère?
Ca devient compliqué quand ca touche au compte admin, au stratégie de groupe et co, n'est ce pas?
Utilise Kaspersky
Tu verras, c'est autre chose... Gratuit.
ATTENTION! Ce n'est pas un AV en temps réels (il est payant l'AV)
Tu verras que ton machin serra trouvé, exécuté et brulé sur le bucher en moins de 2
Bisou
Kaspersky c'est du lourd. C'est pas Avast caca truc bidule. Ca tire à gros calibre.

Je ne pense pas qu'il s'agisse d'un malware ou d'un virus. Plus vraisemblablement d'un comportement lié à l'utilisation que tu as faite de ta machine (là où tu l'as connectée, logiciel que tu as utilisé, par exemple Intune de Microsoft ou autre chose du genre).

Regarde ici d'abord (ne pas télécharger le logiciel proposé, juste s'informer) :

https://windowsbulletin.com/files/exe/microsoft-corporation/windows-10-operating-system/deviceenroller-exe

et ici pour désactiver le rattachement de ta machine la cas échéant :
https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-understanding-auto-enrollment-in-a-co-managed/ba-p/834780

HTH