Sentinel One [Résolu]

Signaler
-
Messages postés
32683
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 mai 2021
-
Bonjour à tous.
Notre propriétaire a été hacké et notre wi-fi est connexe au sien (je suis désolée, je n'y connais rien). Donc, il nous a mis une connexion wi-fi a disposition, distincte de son réseau wi-fi. Suite à cela, ses informaticiens ont donné une clé USB avec SentinelOne pour vérifier si nos PC n'étaient pas infectés. Tout est OK, ouf. Mon problème est que SentinelOne ne veut pas se désinstaller (il demande une clé que je n'ai pas). Comment puis-je faire pour enlever ce truc sans la clé?
Merci pour votre aide.

11 réponses

Bonjour MPMP10.
J'ai installé Revo qui a bien désinstallé SentinelOne Agent. Grand merci!! :-)
J'ai toutefois un souci qui reste: il apparaît toujours dans le gestionnaire des tâches. Quand je demande de faire "fin de tâche", j'ai le message d'erreur suivant: "Accès refusé. Vous avez besoin de privilèges d'administrateur pour terminer cette tâche. Fermez le gestionnaire, puis exécutez-le en tant qu'administrateur et réessayez."
Je me suis connectée sur mon profil administrateur, j'ai lancé Revo (qui n'a toujours rien trouvé) et lancé le gestionnaire qui m'indique qu'aucune tâche n'est en cours... Je ne comprends pas.
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021
9 021 >
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

OK,
Voir avec MisteryBean (que je salue au passage) sinon voir avec la réinitialisation.
Perso pour les fichiers récalcitrants je passe sur le boot menu avec un CD live antivirus (sur la mémoire RAM) et ensuite je dégage l’intrus et je redémarre Windows normalement.
Dans cette configuration plus besoin de l'autorisation de la part de SentinelHelperService ou de TrustedInstaller par exemple pour dégager un fichier récalcitrant.
https://support.kaspersky.com/fr/14226

Sinon :
https://www.commentcamarche.net/faq/8648-tuer-un-processus-recalcitrant
https://www.mediaforma.com/windows-10-tuer-processus-commande/
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021
>
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021

Je viens de suivre les 2 liens et de tenter les cmd proposées: j'ai la réponse "accès refusé" à la fin de l'exécution de la cmd taskkill. :-(
Et je ne sais pas ce que c'est que le boot menu (et mon AV n'a pas de CD) :-(
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021
9 021 >
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021
>
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021

Merci pour le lien. Je ne me sens pas du tout (mais vraiment pas) à la hauteur pour faire ça. Je regarde encore les aides de MisteryBean et bazfile et, si ça ne vas toujours pas, j'irai voir un informaticien "physique"... Je perds espoir. Merci encore, en tout cas! :-)
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021
9 021 >
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

La réparation de Windows sur la réponse <3> est gratuite et d'une simplicité extrême, une fois lancée la réparation est automatique.
Je remets ici un nouveau tutoriel plus simple :

https://depanmicro.cuisinaud.com/index.php/astuces/divers/30-restaurer-son-pc-a-son-etat-d-origine-usine-sans-cd-dvd
De plus généralement cette réparation dure environ 45 minutes.
Messages postés
2739
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
8 mai 2021
426
Bonjour,


On peux essayer de finir de nettoyer les traces :

Bien lire toute la procédure avant de poster les rapports

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

Bonsoir MisteryBean.
J'ai suivi vos indications.
Voici les liens: https://up.security-x.fr/file.php?h=Rc3291eabe83780a5842ba7aa6be43621 (FRST) et https://up.security-x.fr/file.php?h=R3d309b2b3ba69d67c9b986d9f63dad32 (Addition).
Je vais redémarrer mon PC et voir si SentinelOne Agent est toujours dans le Gestionnaire des Tâches.
Merci, en tout cas! :-)
---
J'ai redémarré mon PC et SentinelOne Agent est toujours dans le Gestionnaire...
Messages postés
32683
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 mai 2021
13 336
Tu n'es pas connecté en tant qu'administrateur du pc c'est donc normal que tu ne puisses pas supprimer SentinelOne, je te laisse avec MisteryBean pour la suite.
>
Messages postés
32683
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 mai 2021

J'avais déjà essayé les procédures sur mon profil admin. Mais pas avec FRST! :-)
Je recommence, merci!
Messages postés
2739
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
8 mai 2021
426
Bonjour,

Je vais redémarrer mon PC et voir si SentinelOne Agent est toujours dans le Gestionnaire des Tâches. 


FRST est un outil de diagnostic , il ne touche à rien sur le PC , donc normal que sentinel soit toujours là.

Comme dit bazfile , tu dois démarrer sur un profil adminstrateur (valer_ur8arpb) .

Une fois sur ce profil , relances un scan FRST et postes les nouveaux rapports

Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

Bonjour MisteryBean.
J'ai essayé à partir du profil admin: rien du tout dans le fichier txt de FRST.
Je suis donc repassée sur mon profil user, en lançant FRST comme admin (via clic droit). J'ai bien un fichier FRST.txt, mais pas de Addition.txt.
Voici le lien: https://up.security-x.fr/file.php?h=R566c067346758437dbd2bd50b3bea4b0
Messages postés
32683
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 mai 2021
13 336
Le rapport FRST est incomplet recommence.
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021
>
Messages postés
32683
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 mai 2021

J'ai réessayé plusieurs fois et j'obtiens tjrs la même chose... :-(
Messages postés
2739
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
8 mai 2021
426 >
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

RE_

Je pense que c'est Panda qui bloque , essaie de le désactiver sur le profil admin le temps de faire le scan .

Si ça ne fonctionne pas , démarres le PC en mode sans echec avec réseau sur le profil admin et lances le scan

Suivre depuis un téléphone ou depuis un autre PC si possible .

--> Démarres en mode sans échec avec réseau depuis les paramètres : https://www.malekal.com/demarrer-windows10-mode-echec/#Demarrer_Windows_10_en_mode_sans_echec

--> Dans le tuto , il faut ensuite descendre dans Options de récupération

--> Choisir l'option 5 pour le mode sans échec avec prise en charge réseau
Messages postés
2739
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
8 mai 2021
426
RE_

Toujours en mode sans echec avec réseau , fais ce qui suit :

--> Télécharges le fichier FIXLIST au même endroit que le programme FRST (FRST64) <= (Important)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Laisses l'outil travailler

--> Le PC devrait redémarrer en mode normal .

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

-----------------
-------------------------------------

Tu n'as plus beaucoup de place sur C: , du coup , la restauration est désactivée .
ATTENTION: La Restauration système est désactivée (Total:117.15 GB) (Free:15.26 GB) (13%) 


Vérifie au redémarrage en mode normal , combien tu as d'espace libre sur C: et Réactive la restauration

Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

Je vous remercie tout plein!! J'ai encore quelques fichiers qui contiennent le mot "sentinel" et un dossier dans ProgramData. Est-ce embêtant?
Je ne sais vraiment pas comment vous remercier!
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021
9 021 >
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

Bonjour,
 J'ai encore quelques fichiers qui contiennent le mot "sentinel" et un dossier dans ProgramData.

Clic droit et corbeille...
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021
>
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021

Bonjour MPMP10.
Je n'ai pas de corbeille/poubelle via le clic droit... :-) J'ai été voir aussi dans "envoyer vers" au cas où. Mais ce n'est pas grave, tant qu'il n'est plus actif, c'est suffisant!
Messages postés
26975
Date d'inscription
vendredi 28 avril 2017
Statut
Membre
Dernière intervention
8 mai 2021
9 021 >
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

OK.
Mais ce n'est pas normal... !
Voir avec SFCFix pour réparer le système d'exploitation:
https://forum.malekal.com/viewtopic.php?t=52301&start=#p401703
https://forum.malekal.com/viewtopic.php?t=50094&start=
Bonjour MisteryBean.
Voici le fichier FIXLIST: https://up.security-x.fr/file.php?h=R7eb09ebcae8d430be429e7f66a80cc10
Voici les infos pour le disque dur:
utilisé - 106.855.247.872 octets - 99,5Go
libre - 18.936.119.296 octets - 17,6Go
Je n'ai plus SentinelOne dans mon gestionnaire des tâches!!! :-D
Messages postés
2739
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
8 mai 2021
426
RE_

OK pour le fixlog .

libre - 18.936.119.296 octets - 17,6Go 

C'est encore un peu juste , il faudrait voir si tu ne peux pas déplacer tes données personnelles sur un disque externe . Après , 120 Go , c'est un peu juste avec Windows 10 et quelques programmes installés, il faudra je pense , à terme , changer le SSD/HDD pour un plus gros.

Tu as bien réactivé la restauration ?

-----------
-----------------------

Pour les fichiers/dossiers restants , tu peux effectivement les supprimer manuellement , mais soit sure de ce que tu supprimes . Sinon , tu peux les laisser , il ne gêne pas vu qu'il n'est plus actif .

------------
----------------------

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.

La procédure nécessite un redémarrage

Bonne continuation :-)
Messages postés
10
Date d'inscription
vendredi 30 avril 2021
Statut
Membre
Dernière intervention
5 mai 2021

Bonjour!
J'avais déjà déplacé des fichiers vers mon D:
J'en ai encore déplacé et là, je suis à 27,4Go de libre.
Et oui, j'ai réactivé la restauration!
Merci!!
Messages postés
32683
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
8 mai 2021
13 336
Je n'ai pas de corbeille/poubelle via le clic droit... :-) J'ai été voir aussi dans "envoyer vers" au cas où. Mais ce n'est pas grave, tant qu'il n'est plus actif, c'est suffisant! 

Pour la corbeille quand on veut supprimer un fichier ou un dossier c'est clic droit et supprimer.

Petit rajout à ce qui a été dit :

POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.

bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.