Sujet Précédent Sujet Suivant

Decryptage rapport ZHPdiag

tsubasa28 Messages postés 70 Statut Membre -  
tsubasa28 Messages postés 70 Statut Membre -
Bonsoir,

Suite à une infection au rookit zero access, je viens d'utiliser Kaspersky remove tool pour essayer de l'éradiquer

Je viens de lancer ZHPdiag, quelqu'un peut consulter le rapport et me dire si il y a du mieux

Merci d'avance

Voila le rapport :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120115_f14u9f5m13n13

47 réponses

Réponse 1 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

et une console java pas à jour, une de plus !
===

C'est normal de trouver l'ip d'Eli Lilly sur ton ordi ?

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C) 

O20 - AppInit_DLLs: . (...) - C:\Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll (.not file.)
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 413 MediaBar
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 414 MediaBar
O69 - SBI: SearchScopes [HKCU] {0388404D-6072-4CEB-B521-8F090FEAEE57} - (Yahoo!) - http://klit.startnow.com
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} - (Web Search) - http://www.searchnu.com/
[MD5.2E0B5C7437AB198A1AA2810BAA4E682B] [SPRF][08/11/2011] (...) -- C:\Users\BEN\Desktop\SoftonicFR_JDownloader_09579.exe   [30456832]
O87 - FAEL: "{FDF14FE6-6DF4-441E-8BCC-FD139DCBDD5B}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
O87 - FAEL: "{628C14DC-FE76-45FD-9D4D-61C66670B7FA}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[HKCU\Software\f6a7b2e5]
O43 - CFD: 12/01/2012 - 00:11:38 - [0,004] -SH-D- C:\Users\BEN\AppData\Local\f6a7b2e5
EmptyTemp
R3 - URLSearchHook: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 0, 6) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll
R3 - URLSearchHook: BittorrentBar_FR Toolbar [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\BittorrentBar_FR\prxtbBitt.dll
R3 - URLSearchHook: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 0, 6) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll
O2 - BHO: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll
O2 - BHO: BittorrentBar_FR [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\BittorrentBar_FR\prxtbBitt.dll
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar 
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR] 
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
[HKCU\Software\AppDataLow\Software\Conduit] 
[HKCU\Software\AppDataLow\Software\Softonic_France]  
[HKLM\Software\BittorrentBar_FR]  
[HKLM\Software\Softonic_France]
O43 - CFD: 10/10/2011 - 10:15:22 - [4,748] ----D- C:\Program Files (x86)\BittorrentBar_FR 
O43 - CFD: 15/01/2012 - 08:28:30 - [2,407] ----D- C:\Program Files (x86)\Softonic_France 
O69 - SBI: SearchScopes [HKCU] {85972AED-C06E-4656-8B11-C8029881C90D} [DefaultScope] - (BittorrentBar_FR Customized Web Search) - http://search.conduit.com  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}]  
[HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR]  
[HKLM\Software\WOW6432Node\BittorrentBar_FR]  
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
[HKCU\Software\AppDataLow\Software\Softonic_France] 
[HKLM\Software\WOW6432Node\Softonic_France]
C:\Users\BEN\AppData\LocalLow\BittorrentBar_FR  
C:\Users\BEN\AppData\LocalLow\Conduit  
C:\Users\BEN\AppData\LocalLow\Softonic_France  
C:\Program Files (x86)\BittorrentBar_FR  
C:\Program Files (x86)\Softonic_France
O4 - HKLM\..\Wow6432Node\Run: [StartNowToolbarHelper] C:\Program Files (x86)\StartNow Toolbar\ToolbarHelper.exe (.not file.)


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Télécharge Roguekiller : https://www.luanagames.com/index.fr.html

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 1 (Rechercher).

Poste le rapport ici.
0
Réponse 2 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Bonjour,

Voila le rapport ZHPfix

Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-01-2012-09-36-26.txt
Run by BEN at 15/01/2012 09:36:26
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: Searchqu 413 MediaBar
ABSENT Software Key: Searchqu 414 MediaBar
ABSENT Software Key: Softonic_France Toolbar

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\BEN\Desktop\SoftonicFR_JDownloader_09579.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: SearchScopes :{0388404D-6072-4CEB-B521-8F090FEAEE57}
SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
SUPPRIME Key: HKCU\Software\f6a7b2e5
ABSENT Key: CLSID BHO: {364d4e0c-543f-4b85-abe3-19551139da4f}
ABSENT Key: CLSID BHO: {ef79f67a-6ad7-4715-a0f8-932fca442023}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\BittorrentBar_FR
SUPPRIME Key: HKCU\Software\AppDataLow\Software\ConduitSearchScopes
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Softonic_France
ABSENT Key: HKLM\Software\BittorrentBar_FR
ABSENT Key: HKLM\Software\Softonic_France
SUPPRIME Key: SearchScopes :{85972AED-C06E-4656-8B11-C8029881C90D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}
ABSENT Key: HKCU\Software\AppDataLow\Software\BittorrentBar_FR
SUPPRIME Key: HKLM\Software\WOW6432Node\BittorrentBar_FR
ABSENT Key: HKCU\Software\AppDataLow\Software\Softonic_France
SUPPRIME Key: HKLM\Software\WOW6432Node\Softonic_France

========== Valeur(s) du Registre ==========
SUPPRIME {FDF14FE6-6DF4-441E-8BCC-FD139DCBDD5B}
SUPPRIME {628C14DC-FE76-45FD-9D4D-61C66670B7FA}
SUPPRIME URLSearchHook: {364d4e0c-543f-4b85-abe3-19551139da4f}
ABSENT URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023}
SUPPRIME RunValue: StartNowToolbarHelper

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: \Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\BEN\AppData\Local\f6a7b2e5
SUPPRIME Temporaires Windows: : 137
SUPPRIME Folder: C:\Program Files (x86)\BittorrentBar_FR
SUPPRIME Folder: C:\Program Files (x86)\Softonic_France
SUPPRIME Folder: c:\users\ben\appdata\locallow\bittorrentbar_fr
SUPPRIME Folder: c:\users\ben\appdata\locallow\conduit
SUPPRIME Folder: c:\users\ben\appdata\locallow\softonic_france

========== Fichier(s) ==========
ABSENT File: \program files\search~1\search~1\x64\datamngr.dll
SUPPRIME File*: c:\users\ben\desktop\softonicfr_jdownloader_09579.exe
SUPPRIME Temporaires Windows: : 6104
SUPPRIME File: c:\program files (x86)\softonic_france\tbsoft.dll
ABSENT File: c:\program files (x86)\bittorrentbar_fr\prxtbbitt.dll
ABSENT Folder/File: c:\program files (x86)\bittorrentbar_fr

========== Récapitulatif ==========
1 : Processus mémoire
23 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
7 : Dossier(s)
6 : Fichier(s)
3 : Logiciel(s)

End of clean in 00mn 19s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/01/2012 09:36:26 [3951]

et le rapport Roguekiller :

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: BEN [Droits d'admin]
Mode: Recherche -- Date : 15/01/2012 09:39:43

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[SUSP PATH] _uninst_11288524.lnk : C:\Users\BEN\AppData\Local\Temp\_uninst_11288524.bat -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 123a4fdaabdd6a429ead3165e7f91674
[BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo
3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
0
Réponse 3 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

relance RogueKiller option 2 et poste le rapport.

===

Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.
0
Réponse 4 / 47
tsubasa28 Messages postés 70 Statut Membre
 
RE

Voila le rapport roguekiller

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: BEN [Droits d'admin]
Mode: Suppression -- Date : 15/01/2012 10:30:19

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[SUSP PATH] _uninst_11288524.lnk : C:\Users\BEN\AppData\Local\Temp\_uninst_11288524.bat -> DELETED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 123a4fdaabdd6a429ead3165e7f91674
[BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo
3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

J'ai remarqué quelque chose. En supprimant le fichier consrv.dll, roguekiller ne repère plus zero access

Et le contenu de la clé

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Debug"=hex(2):00,00
@="mnmsrvc"
"Kmode"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,69,00,\
6e,00,33,00,32,00,6b,00,2e,00,73,00,79,00,73,00,00,00
"Optional"=hex(7):50,00,6f,00,73,00,69,00,78,00,00,00,00,00
"Posix"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,70,00,\
73,00,78,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00
"Required"=hex(7):44,00,65,00,62,00,75,00,67,00,00,00,57,00,69,00,6e,00,64,00,\
6f,00,77,00,73,00,00,00,00,00
"Windows"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
00,73,00,72,00,73,00,73,00,2e,00,65,00,78,00,65,00,20,00,4f,00,62,00,6a,00,\
65,00,63,00,74,00,44,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,00,79,00,3d,\
00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,68,00,61,00,\
72,00,65,00,64,00,53,00,65,00,63,00,74,00,69,00,6f,00,6e,00,3d,00,31,00,30,\
00,32,00,34,00,2c,00,32,00,30,00,34,00,38,00,30,00,2c,00,37,00,36,00,38,00,\
20,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,3d,00,4f,00,6e,00,20,00,53,\
00,75,00,62,00,53,00,79,00,73,00,74,00,65,00,6d,00,54,00,79,00,70,00,65,00,\
3d,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,65,00,72,00,76,\
00,65,00,72,00,44,00,6c,00,6c,00,3d,00,62,00,61,00,73,00,65,00,73,00,72,00,\
76,00,2c,00,31,00,20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,\
00,3d,00,77,00,69,00,6e,00,73,00,72,00,76,00,3a,00,55,00,73,00,65,00,72,00,\
53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,\
00,69,00,61,00,6c,00,69,00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,33,00,\
20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,63,00,6f,\
00,6e,00,73,00,72,00,76,00,3a,00,43,00,6f,00,6e,00,53,00,65,00,72,00,76,00,\
65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,00,69,00,61,00,6c,00,69,\
00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,32,00,20,00,53,00,65,00,72,00,\
76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,73,00,78,00,73,00,73,00,72,00,76,\
00,2c,00,34,00,20,00,50,00,72,00,6f,00,66,00,69,00,6c,00,65,00,43,00,6f,00,\
6e,00,74,00,72,00,6f,00,6c,00,3d,00,4f,00,66,00,66,00,20,00,4d,00,61,00,78,\
00,52,00,65,00,71,00,75,00,65,00,73,00,74,00,54,00,68,00,72,00,65,00,61,00,\
64,00,73,00,3d,00,31,00,36,00,00,00

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 47
Utilisateur anonyme
 
Bonjour Lyonnais92

https://forums.commentcamarche.net/forum/affich-24162952-probleme-virus-win-32-sirefef-jq?page=3#top

Bonne continuation

@+
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

désolé, je viens de voir seulement maintenant.

à+
0
Utilisateur anonyme
 
Re

Il n'y a pas de mal ;-)

@+
0
Réponse 6 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

En supprimant le fichier consrv.dll, roguekiller ne repère plus zero access

Certes.

Mais, heureusement pour toi, soit la clé n'avait pas été modifiée, soit Kaspersky remove tool avait remis la clé en état (mais alors, pourquoi a-t-il laissé le fichier ?).

Sinon, écran bleu à répétition avec pour seule option la réparation ndu registre avec un live CD.

===

D'ailleurs, comme je ne sais pas quand l'ordi a redémarré, tu ouvres la valeur Windows de

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

Clic droit et modifier et tu parcours le contenu (en caractères et pas en hexa) pour vérifier que consrv.dll n'y est pas.

Si tu le trouves, remplacement par winsrv.dll en urgence.

===

Après ça, mise à jour des consoles java.

Puis tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport dans un lien pjjoint.
0
Réponse 7 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re

Mon ordi s'est coupé et en le relançant pas moyen de lancer windows 7, j'ai du faire une restauration. Suite à mon scan avec Kasperky remove tool, j'avais crée une date de restauration manuelle.

J'ai redemarré à cette date

Je suis allé voir la clé, impossible de changer consrv:Con en winsrv:Con

Merci
0
Réponse 8 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

impossible de changer consrv:Con en winsrv:Con

tu n'as pas consrv.dll dans la clé ?
0
Réponse 9 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re,

Je t'ai copié la clé /

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
0
Réponse 10 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

alors dans

ServerDll=consrv:ConServerDllInitialization

tu remplaces

consrv par

winsrv

(après clic droit sur Windows et dans Modifier).
0
Réponse 11 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re,

Malheureusement, ca ne marche pas

Quand je remplace consrv par winsrv, cela revient à consrv lorsque je vérifie si la manipulation à fonctionner
0
Réponse 12 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

qui est propriétaire de la clé ?

Quelles sont les autorisations du Propriétaire ?

Et du compte que tu utilises ?
0
Réponse 13 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re,

Je ne comprends pas trop ta question ?

C'est mon compte, lorsque je demarre windows, je rentre mon mot de passe
0
vieu bison boiteu Messages postés 45522 Date d'inscription   Statut Contributeur Dernière intervention   3 556
 
salut à tous

ce sont les autorisations dans la Base De Registre
https://www.cjoint.com/?BApodWxwE3a
quand tu cliques "droit' sur le dernier répertoire jaune à gauche , et que tu choisis
"autorisation ..."
il faut tous les autorisés en modification pour avoir le contrôle total

à+
0
Réponse 14 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

tu ouvres le registre, tu vas sur la clé;

Clic droit et Propriétés.

Là, tu as des possibilités pour connaître le Propriétaire de la clé et les autorisations des utilisateurs.
0
tsubasa28 Messages postés 70 Statut Membre
 
Re,


Je vais donc dans regedit, descend l'arborescence jusque windows et je fais un clic droit pour la fenetre modification de la chaine. Si c'est la, quand je fais un clic droit sur la clé, je n'ai de proposition "propriété"
0
Réponse 15 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

non, tu ne vas pas jusqu'à Windows (qui est une valeur de clé, dans la fenêtre de droite);

Tu reste sur la fenêtre de gauche (la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems).
0
Réponse 16 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re,

Une fois cliqué sur subsystem, je fais un clic droit, on me propose en autre

Autorisation
Copier le nom de la clé
0
Réponse 17 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

clique sur Autorisations

Tu vas avoir un Panneau de visualisation des autorisations.

Si tu cliques sur Avancé, tu pourras accéder aux infos sur le Propriétaire.
0
tsubasa28 Messages postés 70 Statut Membre
 
Re,

Donc il y a ecrit :

Administrateur (Ben-HP\Administrateur), c'est ecrit dans la case administrateur actuel

et dessous

Ben (Ben-Hp\Ben) avec le premier nommé dans la case selectionné un nouvel utilisateur
0
Réponse 18 / 47
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

ça ne me dit pas :

- qui est Propriétaire de la clé

- quelles sont les autorisations des divers comptes (administrateurs, utilisateurs, ...)

De plus, tu n'as pas répondu à ma première question (sur l'ip).
0
Réponse 19 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re,

Je suis vraiment pas doué, désolé mais je ne sais pas comment faire

Comment je fais pour savoir qui est le propriétaire de la clé et les autorisations des divers comptes ?

Merci d'avance
0
Réponse 20 / 47
tsubasa28 Messages postés 70 Statut Membre
 
Re

Je vais t'écrire ce qu'il y a de marqué quand je clique sur l'onglet autorisation:

Autoriser Utilisateur (Ben-HP\Utilisateur) lecture MACHINE SYSTEME la clé et les sous clé

Autoriser Administrateur (Ben-HP\Administrateur) Controle total MACHINE SYSTEME la clé et les sous clé

Autoriser Système Controle total MACHINE SYSTEME La clé et les sous clé

Autoriser CREATEUR PROPRIETAIRE Spécial MACHINE SYSTEME Les sous clés seulement
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
a quoi sert vraiment ce logiciel ZHPDIAG
Utilisateur anonyme -
Utilisateur anonyme -

7 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
ZHPDiag avis
BenTrot -
MisteryBean -

5 réponses