Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Détournement de mes autorisation de droit administrateur

chtilo

Par chtilo
dans Software

 Partager

Messages recommandés

chtilo Mega Power Member

chtilo

Posté(e)
Posté(e) (modifié)

Bonjours à tous,

 

Tout d'abord je tiens remercié tout ceux qui me feront avancé dans la résolution de mon problème et des explication que vous pourrez me fournir.

 

Pour commencé je suis sous Windows XP Pro SP2 avec compte administrateur et 2 compte administrateur en mode sans echec: celui du mode normale et celui qui est créer a l'installe de Windows.

 

Après une infection que j'ai résolu, voici les problème que je rencontre:

 

_Windows Installer qui me dit que je suis en mode sans echec et que je n'ai pas les droit administrateur , résolu en écrivant les clé de registre qui ont du être effacé par l'infection.

 

_Problème avec mes droit administrateur, j'ai accès à tous mais pourtant pour des désinstalle par exemple Babylon6 il me dit que je n'ai pas les autorisations nécéssaire et que je n'ai pas accès au clés HKEY CLASS_ROOT.

 

Et j'ai eu un problème d'accès au registre à l'install de O&O Defrag.

 

Donc se qui me semble bizarre c'est que je suis bien avec ma session admin mais je n'ai pas certaine autorisation, je pense que cela est du à mon infection.

 

Comment remettre les autorisations par défaut ? je veux dire comme à l'install de Windows

Est ce qu'il y a des clés de registre a remettre comme avec Windows Installer (cas expliquer au début) ? ET où trouver ces clés ?

 

merci aux personnes qui me feront avancé pour résoudre ces problème.

 

amicalement

Modifié par chtilo

Xeti Power Member

Xeti

Posté(e)
Posté(e)

Salut,

Cela serait intérressant de connaitre quelle infection tu as eu et la manière utilisé pour l'éradiquer.

As tu essayé Zeb restore pour rétablir les acces?

 

@+

 

Xetie

chtilo Mega Power Member

chtilo

Posté(e)
  • Auteur
Posté(e)

Bonsoir ,

 

Je n'ai pas essayer Zeb restor.

 

Pour l'infection j'ai tout d'abord remarquer que le PC n'allait pas trop bien, et en faisant une analyse HijackThis j'ai vu svdhost.exe , mais en faisant des scans avec:

_NOD32

_AVG anti spyware

_A² Free (a-squared)

_Spy sweeper

 

Il n'y avait rien.

 

Donc aucun nom précis a donner a l'infection car pour ce processus il y plusieur nom possible (recherche et résultat sur sophos et symantec)

 

Donc après recherche j'ai du mixer les possibilité d'action pour les infection possible donc voici se que j'ai fait

 

Nettoyage avec NoTrace, ATF Cleaner et MRU Blaster.

 

EN MODE SANS ECHEC

 

analyse SmitFraudFix mais rien mais j'ai nettoyer quand même

 

Analyse CWS SHREDDER et là il m'a trouve Msconfig et ensuite j'ai fixé avec

 

ensuite suppression de ces deux clés

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\WindowsUpdate

 

Et j'ai fixé dans HijackThis

 

la ligne 04 avec svdhost et deux BHO avec écrit no name et file missing

 

Suppression du fichier svdhost.exe dans C:\windows\

 

désactivation de la restoration système puis réactivation

 

redémarrage en mode normale et nettoyage avec Regcleaner et windows washer

 

amicalement.

chtilo Mega Power Member

chtilo

Posté(e)
  • Auteur
Posté(e)

J'oubliai de préciser :

 

Ce qui est bizarre c'est que ce message apparait quand je veu supprimer Babylon6

 

ereurdsinstallbz0.png

 

Alors que je peux ouvrir Regedit et par exemple ajouté des clés.Je l'ai fait pour réinstaller Windows Installer

Xeti Power Member

Xeti

Posté(e)
Posté(e)

Slt,

Est se que tu peux me donner les lignes exactes que tu avais dans Hijackthis?

 

Msconfig, tu sais se que c'est? POur info, c'est un programme microsoft fourni avec tout les windows afin d'activer/désactiver des services/des programmes au démarrage, ainsi que l'accès à des options de démarrage tel que le mode ss échec.

Tu as aussi supprimé des ligne te permettant de faire les mises à jour windows. Je pense que tu peut les remettre avec zebrestore.

Vas y doucement et surement si non tu va être obligé de réinstaller windows.

 

Windows Installer marche maintenant?

 

Pocèdes tu un programme appelé "Orvell Monitoring Network" ?

 

@+

 

Xeti

chtilo Mega Power Member

chtilo

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjours Xeti, oui xindows Installer marche niquel j'ai du remettre des clés de registre.

 

Merci de me donner un coup de main car là je comprend pas tout ce qui ce passe.En tout cas pour MSconfig je viens a nouveaux de vérifier sa marche bien.

 

Pour les mises à jours j'essaie juste après mon post et te dit quoi en attendant voici les ligne que j'ai supprimer sauf celle du 02/09 qui est autre chose.

 

rapporthijackthismu7.png

 

Par contre je ne comprend pas un truc, c'est que j'ai aussi un autre compte administrateur, celui qui ce crée quand on installe Windows et bien avec lui j'ai pu supprimer le logiciels Babylon 6 sans souci.Donc je pense également que peut être pour le nettoyage des clés de registre après la désinfection j'ai du supprimer avec des clés liés a mes droit avec mon compte administrateur habituel, je veux dire le seul comporte que j'ai en mode normale.

 

j'espère avoir bien expliquer , encore merci de m'aider, je vais testé les Màj windows.

 

amicalement

Modifié par chtilo
chtilo Mega Power Member

chtilo

Posté(e)
  • Auteur
Posté(e)

Bonjours Angelique,

 

J'ai pas compris le

 

**une perte des privileges SeDebugPrivilege?

 

je vais faire un tour sur le lien.

 

Je ne peux plus faire mes Màj j'ai fait comme je fais d'habitude je veux dire changement de réglage de XP Antispy et XPSafe mais rien à faire. Je peut poster l'écran d'erreur si il faut j'avais pas pensé tout suite.

 

En tout cas merci à vous de m'aider car j'ai l'impression qu'il n'y a pas encore grand monde dans le même cas donc merci du temp que vous m'accorder.

chtilo Mega Power Member

chtilo

Posté(e)
  • Auteur
Posté(e)

Bonjour Pear,

 

Malheureusement ce problème est persistant mais je commence à trouvé des info sur le : Où tout à commencé, car en soit j'ai vu le svdhost.exe mais les analyse ne trouvait rien donc pas de nom a mettre sur cette infection.

 

En tout cas elle m'a fait des dégât, j'espère en venir a bout et bien sur grace a l'aide de tout ceux qui le peuvent car je pense que si pour lr moment on n'est pas nombreux( a ce que j'en vois) on le sera donc on continu de cherché et votre aide est la bien venu.

 

D'après les info que j'ai trouvé (les lien sont sur l'autre sujet) il y a eu un code malicieux qui je crois a créer un ou deux "compte" et moi dans l'histoire j'ai plus mes droit et de plus le 2eme compte admin céer a l'install de windows n'a plus son MDP mais je vais re-vérifier.

 

Merci pear de votre aide.

 

amicalement.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...