Sophos anti rootkit [Résolu/Fermé]

Signaler
-
Messages postés
28030
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 juin 2021
-
Bonjour,

après un scan avec Sophos anti rootkit qu'il ne peut pas supprimer et que je ne trouve quand je suis le chemin pourtant j'ai fait afficher les fichier cacher

voila le rapport

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-18\Keyboard Layout\Substitutes
Removable: No
Notes: (no more detail available)



13 réponses

Messages postés
28030
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 juin 2021
7 914
Bonsoir,

Cette clé est présente sur mon PC.
Elle ne semble a priori pas du tout infectieuse.

Ne la supprime pas. Ni manuellement, ni via un script.

Il semblerait que cela appartienne au clavier visuel :
https://www.commentcamarche.net/faq/13744-clavier-visuel-virtuel-sous-windows-10-8-7
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

bonjour a vous monsieur merci

mais quand vous suivez le chemin indiquer elle apparait ou elle est en hidden comme moi car moi je ne la voit pas quand je me rend dans le registre
bonjour

mon problème est toujours la si quelqu'un est la merci pour votre aide
je pense avoir trouve une solution a mon problème

avec otm ou malwarbyte pour supprimer cette clé et en ecrivant ceci

-\HKEY_USERS\S-1-5-18\Keyboard Layout\Substitutes

attention je ne suis pas sure de la manip ne pas reproduire si un helpeur ne vous le confirme pas
non c'est pas sa

sa n'a pas marcher pour moi je sait c'etait pas pour moi mais je suis curieux
tu prend des risque tu aurai pu planter ton pc
Messages postés
28030
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 juin 2021
7 914
Fais ceci :
Démarrer > Exécuter

Copie-colle ceci :

reg export "HKEY_USERS\S-1-5-18\Keyboard Layout" C:\export.txt

****

Rends-toi sur le poste de travail > Disque local C et poste le contenu du fichier texte export stp.
merci

rien ne se passe si j'ai fenêtre noir qui apparait et disparait et quand je vais dans C: pas de fichier
Messages postés
28030
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 juin 2021
7 914
Lance l'éditeur de la base de registre :
Démarrer > Dans la barre de recherche, tape regedit

Va dans :
HKEY_USERS\S-1-5-18

Clique une fois sur Keyboard Layout afin de le sélectionner.

Fichier > Exporter > Nomme le fichier et enregistre le quelque part.
Ce sera un fichier .reg.
Héberge le ici :
http://www.cijoint.fr/
voila se que sa donne et merci

http://www.cijoint.fr/cjlink.php?file=cj201007/cij5wVedKA.txt
Messages postés
28030
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 juin 2021
7 914
J'ai ceci chez moi :

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Keyboard Layout]

[HKEY_USERS\S-1-5-18\Keyboard Layout\Preload]
"1"="0000040C"
"2"="00000409"

[HKEY_USERS\S-1-5-18\Keyboard Layout\Substitutes]

[HKEY_USERS\S-1-5-18\Keyboard Layout\Toggle]
"Hotkey"="1"
"Language Hotkey"="1"
"Layout Hotkey"="2"



Tu as ceci :

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Keyboard Layout]

[HKEY_USERS\S-1-5-18\Keyboard Layout\Preload]
"2"="00000409"
"1"="0000040c"


Pas de souci particulier je pense.
bonsoir

ok merci
Messages postés
28030
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 juin 2021
7 914
A ton service, a+.

oui c'est une clé dans le registre.
tu dois passer par regedit et supprimer manuellement la clé en question.
bonjour

et merci j'ai déjà essayer mais il est invisible je ne le trouve pas