J'ai un problème étrange sur mon ordinateur portable HP. Cela a commencé récemment. Chaque fois que je démarre ma machine, le Centre d'action Windows 7 affiche l'avertissement suivant:
Vous devez redémarrer votre ordinateur pour que l'UAC soit désactivé.
En fait, cela ne se produit pas si cela s'est produit une fois un jour spécifique. Par exemple, lorsque je démarre la machine le matin, elle apparaît; mais il n'apparaît jamais dans les redémarrages suivants au cours de cette journée. Le lendemain, la même chose se reproduit.
Je ne désactive jamais l'UAC, mais il est évident que certains rootkits ou virus en sont la cause. Dès que j'obtiens cet avertissement, je me dirige vers les paramètres UAC et je réactive UAC pour ignorer cet avertissement. C'est une situation gênante car je ne peux pas y remédier.
Tout d'abord, j'ai exécuté une analyse complète sur l'ordinateur pour toute activité probable de virus et de malware / rootkit, mais TrendMicro OfficeScan a déclaré qu'aucun virus n'a été trouvé. Je suis allé dans un ancien point de restauration à l'aide de la restauration du système Windows, mais le problème n'a pas été résolu.
Ce que j'ai essayé jusqu'à présent (qui n'a pas pu trouver le rootkit):
- TrendMicro OfficeScan Antivirus
- AVAST
- Malwarebytes Anti-Malware
- Ad-Aware
- Vipre Antivirus
- GMER
- TDSSKiller (Kaspersky Labs)
- HiJackThis
- RegRuns
- UnHackMe
- SuperAntiSpyware Portable
- Rasoir Tizer Rootkit ( * )
- Sophos Anti-Rootkit
- SpyHunter 4
- ComboFix
Il n'y a pas d'autres activités étranges sur la machine. Tout fonctionne bien sauf cet incident bizarre.
Quel pourrait être le nom de ce rootkit ennuyeux? Comment puis-je le détecter et le supprimer?
EDIT: Voici le fichier journal généré par HijackThis:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:07:04, on 17.01.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\VolCtrl.exe
C:\Program Files\LightningFAX\LFclient\lfsndmng.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Office Communicator\communicator.exe
C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\mimio\mimio Studio\system\aps_tablet\atwtusb.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Babylon\Babylon-Pro\Babylon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\userx\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.yaysat.com.tr/proxy/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [lfsndmng] C:\Program Files\LightningFAX\LFclient\LFSNDMNG.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\communicator.exe" /fromrunkey
O4 - HKLM\..\Run: [AgentUiRunKey] "C:\Program Files\Iron Mountain\Connected BackupPC\Agent.exe" -ni -sss -e http://localhost:16386/
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Global Startup: mimio Studio.lnk = C:\Program Files\mimio\mimio Studio\mimiosys.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://172.20.12.103:4343/officescan/console/html/ClientInstall/setup.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\Software\..\Telephony: DomainName = yaysat.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yaysat.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yaysat.com
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Program Files\Stardock\Fences\FencesMenu.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: AgentService - Iron Mountain Incorporated - C:\Program Files\Iron Mountain\Connected BackupPC\AgentService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: BMFMySQL - Unknown owner - C:\Program Files\Quest Software\Benchmark Factory for Databases\Repository\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SMS Task Sequence Agent (smstsmgr) - Unknown owner - C:\Windows\system32\CCM\TSManager.exe
O23 - Service: Check Point VPN-1 Securemote service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point VPN-1 Securemote watchdog (SR_Watchdog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Watchdog.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 8204 bytes
Comme suggéré dans cette question très similaire , j'ai exécuté des analyses complètes (+ analyses au démarrage) avec RegRun et UnHackMe, mais elles n'ont également rien trouvé. J'ai soigneusement examiné toutes les entrées dans l'Observateur d'événements, mais il n'y a rien de mal.
Maintenant, je sais qu'il y a un cheval de Troie caché (rootkit) sur ma machine qui semble se déguiser avec succès. Notez que je n'ai pas la possibilité de retirer le disque dur ou de réinstaller le système d'exploitation car il s'agit d'une machine de travail soumise à certaines politiques informatiques sur un domaine d'entreprise.
Malgré toutes mes tentatives, le problème persiste. J'ai strictement besoin d'une méthode directe ou d'un décapant de rootkit pukka pour supprimer quoi que ce soit. Je ne veux pas modifier les paramètres du système, c'est-à-dire désactiver les exécutions automatiques un par un, salir le registre, etc.
EDIT 2: J'ai trouvé un article qui est étroitement lié à mon problème:
Les logiciels malveillants peuvent désactiver l'UAC dans Windows 7; «De par leur conception», explique Microsoft . Un merci spécial (!) À Microsoft.
Dans l'article, un code VBScript est donné pour désactiver automatiquement l'UAC:
'// 1337H4x Written by _____________
'// (12 year old)
Set WshShell = WScript.CreateObject("WScript.Shell")
'// Toggle Start menu
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)
'// Search for UAC applet
WshShell.SendKeys("change uac")
WScript.Sleep(2000)
'// Open the applet (assuming second result)
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)
'// Set UAC level to lowest (assuming out-of-box Default setting)
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
'// Save our changes
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{ENTER}")
'// TODO: Add code to handle installation of rebound
'// process to continue exploitation, i.e. place something
'// evil in Startup folder
'// Reboot the system
'// WshShell.Run "shutdown /r /f"
Malheureusement, cela ne me dit pas comment me débarrasser de ce code malveillant exécuté sur mon système.
EDIT 3: Hier soir, j'ai laissé l'ordinateur portable ouvert en raison d'une tâche SQL en cours d'exécution. Quand je suis arrivé le matin, j'ai vu que l'UAC était désactivé. Donc, je soupçonne que le problème n'est pas lié au démarrage. Cela se produit une fois par jour à coup sûr, peu importe si la machine est redémarrée.
EDIT 4: Aujourd'hui, j'ai immédiatement démarré "Process Monitor" dès que Windows a commencé à espérer attraper le coupable (merci à @harrymc pour l'idée). À 9h17, le curseur UAC a été glissé vers le bas (Windows 7 Action Center a donné l'avertissement). J'ai enquêté sur toutes les actions de registre entre 9h16 et 9h18. J'ai enregistré le fichier journal de Process Monitor (70 Mo contenant uniquement cet intervalle de 2 minutes). Il y a beaucoup d' EnableLUA = 0
entrées (et les autres). Je poste les captures d'écran des fenêtres de propriétés des 4 premiers ci-dessous. Il dit qu'il svchost.exe
fait cela et donne quelques numéros de thread et PID. Je ne sais pas ce que je devrais en déduire:
Réponses:
Vous devez d'abord vérifier si le service Security Center peut démarrer, et sinon - laquelle de ses dépendances est à blâmer. Recherchez également les messages d'erreur dans l'Observateur d'événements.
Si vous avez le sentiment que votre ordinateur est infecté, les solutions possibles peuvent être:
Dans votre cas, cela peut s'appliquer: Exécution d'une récupération système HP sous Windows Vista .
Juste pour remarquer que Windows est tout à fait capable de se détruire sans aucune aide, c'est pourquoi Windows Update est plus dangereux que n'importe quel virus. La réparation au démarrage peut résoudre le problème dans ce cas en réinitialisant Windows, sans nécessiter la réinstallation des applications.
Si vous pensez vraiment que le problème est plutôt celui d'un virus et que vous souhaitez en savoir plus sur ce qui se passe sur votre ordinateur, vous devrez découvrir deux choses:
Pour le premier, s'il s'agit d'une modification du registre, la clé est probablement l'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
élément EnableLUA , dont la valeur est 0 pour la désactivation et 1 pour l'activation.Une fois que vous avez localisé la modification apportée à votre système, vous pouvez utiliser Process Monitor et son option Enable Boot Logging (voir l'aide) pour consigner tous les accès à la clé.
Je voudrais d'abord démarrer en mode sans échec et voir si cela se produit également. Sinon, un autre vecteur d'attaque consiste à utiliser les exécutions automatiques pour désactiver les éléments de démarrage dans une recherche binaire du produit (car il peut s'agir d'un produit légitime à l'origine du problème plutôt que d'un virus).
la source
sfc /scannow
et ça ditWindows Resource Protection Did Not Find Any Integrity Violations
. L'étape 2 est risquée pour moi car il s'agit d'un ordinateur portable d'entreprise soumis à des politiques informatiques. Si je gâche en quelque sorte le processus de démarrage, j'aurai plus de problèmes. L'étape 3 est hors de question pour moi.Dans mon cas, c'était la politique de domaine qui était appliquée une fois par jour. Même problème. Le diagnostic a été plus facile car la désactivation de l'UAC s'est produite uniquement lors de la connexion au domaine ou de la connexion via VPN. Ainsi, il a été découvert que la stratégie de domaine comprenait un script pour désactiver l'UAC. J'ai contacté mes administrateurs système et ils l'ont confirmé. Il est donc préférable de consulter vos administrateurs de domaine ou de valider les politiques et scripts locaux de profil si vous n'êtes pas dans le domaine.
la source
Option 1: désactivez tous les programmes au démarrage. (Démarrer> Exécuter> Msconfig. Désactivez tout au démarrage).
Option 2: installez AVAST home edition et planifiez une analyse de l'heure de démarrage. Mieux encore, déconnectez le disque dur de votre machine et connectez-le à un autre et numérisez-le à partir de là à l'aide d'AVAST.
Option 3. Une autre option consiste à exécuter HijackThis. Générez le rapport et partagez-le ici pour analyse. http://free.antivirus.com/hijackthis/
la source
Veuillez installer Microsoft Security Essentials et effectuer une analyse complète du système. Étant donné que MSE utilise des API et des crochets du système d'exploitation, il peut être en mesure de localiser le malware, s'il s'agit en fait d'une sorte de malware. De plus, si MSE n'est pas en mesure d'installer ou d'exécuter réellement, nous savons alors que le système est compromis.
Depuis, vous avez exécuté tellement de programmes AV et Anti-Malware pour vérifier votre système, je doute fortement que votre ordinateur ait été compromis. Au lieu d'installer les programmes AV et Anti-Malware puis d'effectuer une analyse de démarrage, utilisez un autre ordinateur pour analyser le lecteur. Connectez le lecteur à un autre système en tant qu'esclave, puis exécutez les analyses. Vous devez effectuer l'analyse de démarrage en démarrant à partir d'un CD ou d'un DVD et non à partir du disque dur lui-même, car cela empêche vraiment le système d'exploitation de démarrer et le root-kit de s'exécuter pendant l'analyse réelle.
Honnêtement cependant, si vous êtes sûr que votre système a été composé par un root-kit, alors faites tourner le disque dur et recommencez à zéro. Demandez à votre service informatique de le faire. C'est le seul moyen infaillible pour être sûr que votre système est propre.
la source
Je vous recommande de créer un autre compte d'utilisateur sur votre ordinateur. Ne faites pas de ce compte un administrateur; conservez-le en tant qu'utilisateur standard. Utilisez ce nouveau compte au lieu de votre compte administrateur. Si vous avez besoin de droits d'administrateur, UAC vous demandera toujours vos informations d'identification d'administrateur. De cette façon, les logiciels malveillants ne pourront pas désactiver l'UAC et exécuter des éléments malveillants ...
Cela ne supprimera pas le virus, mais cela l'empêchera au moins de s'aggraver. Ensuite, lorsque votre antivirus obtiendra de nouvelles définitions pour le détecter, il pourra le supprimer.
la source
Avant de passer à des mesures plus compliquées, veuillez installer AVG Anti-Virus Free Edition 2011 . Laissez-le effectuer une analyse complète de l'ordinateur. Récemment, j'ai eu un problème similaire, et aucun autre programme anti-virus mais celui-ci n'a pu le résoudre avec ses mesures Anti-Rootkit.
la source
C'est une question assez intéressante. Je dois dire que cela serait causé par un ou deux problèmes différents:
1) La plupart des gens soupçonnent un virus, et à juste titre, les virus adorent pénétrer dans les fenêtres et bricoler les paramètres.
Vous avez déjà exécuté un grand nombre d'analyses. Tout virus devrait être attrapé par ceux déjà exécutés, donc je pense que c'est un voleur Windows.
2) Windows est poussé. Je vous recommande de lancer une vérification du disque sur votre ordinateur. Deux méthodes différentes qui donnent des résultats similaires.
- Ouvrez mon ordinateur, puis cliquez avec le bouton droit sur votre disque dur dont Windows se charge. Ensuite, sélectionnez l'onglet Outils et cliquez sur le bouton qui dit Vérification du disque [ou quelque chose de similaire]. Cochez maintenant les deux cases d'option si elles ne le sont pas déjà. Votre ordinateur devrait vous demander de redémarrer votre ordinateur, sinon, vous n'avez pas coché les cases d'option. Laissez ce scan s'exécuter. Il devrait nettoyer tous les oiseaux de votre installation Windows.
Maintenant, si cette analyse échoue, insérez le disque d'installation de votre système d'exploitation. Si vous utilisez XP, appuyez sur R lorsque l'écran bleu s'affiche pour vous demander quelle tâche vous souhaitez effectuer. Maintenant, sélectionnez le disque dur sur lequel se trouve votre système d'exploitation et appuyez sur Entrée après avoir entré le numéro approprié. Ensuite, saisissez le mot de passe du compte administrateur [généralement vide]. Maintenant, entrez dans la console de commande: chkdsk / r
cela devrait faire la même analyse, mais cela peut résoudre plus de problèmes car l'analyse est exécutée à partir du disque d'installation.
si vous exécutez la recherche d'une machine VISTA ou SEVEN, insérez le disque et sélectionnez l'option de réparation. Ensuite, appuyez sur Annuler et cela devrait faire apparaître une nouvelle fenêtre, dans laquelle vous pouvez effectuer plus d'opérations. La dernière option devrait indiquer "Fenêtre de console" ou quelque chose du genre.
entrez dans la console de commande "chkdsk / r C:"
J'espère que cela t'aides.
la source
chkdsk /r C:
au démarrage et cela a pris environ 1 heure. Aucun problème n'a été trouvé.Je viens de rencontrer ce même msg. ce matin. Java essaie de se mettre à jour depuis un certain temps maintenant, j'ai donc changé les paramètres de notification en "ne pas notifier" et j'ai immédiatement reçu le message que je devais redémarrer mon processeur pour désactiver le contrôle. Je suis entré et j'ai réinitialisé le niveau de notification et le problème a été résolu. J'espère que ça t'as aidé
la source
Gagnez 10 en utilisant Malwarebytes. Les logiciels malveillants éteignaient apparemment l'UAC au démarrage. A cessé de le charger au démarrage et le problème a semblé se résoudre. A ensuite ajusté le démarrage pour retarder la configuration de Malwarebytes et cela a semblé fonctionner.
la source