Decryptage rapport ZHPdiag

tsubasa28 Messages postés 70 Statut Membre -  
tsubasa28 Messages postés 70 Statut Membre -
Bonsoir,

Suite à une infection au rookit zero access, je viens d'utiliser Kaspersky remove tool pour essayer de l'éradiquer

Je viens de lancer ZHPdiag, quelqu'un peut consulter le rapport et me dire si il y a du mieux

Merci d'avance

Voila le rapport :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120115_f14u9f5m13n13

47 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs outils de sécurité ont été employés après une infection présumée par un rootkit ZeroAccess, notamment ZHPDiag et Kaspersky Remove Tool, avec des rapports indiquant fichiers et règles suspectes comme consrv.dll et des extensions malveillantes. Des réponses proposent des actions techniques allant de la modification des autorisations et du propriétaire de clés de registre à l’usage d’outils dédiés comme RogueKiller, et indiquent la duplication du fichier consrv.dll. Parmi les éléments les plus pertinents, l’analyse ZHPDiag et l’examen des autorisations du registre, puis l’utilisation prudente d’outils de nettoyage et l’arrêt des actions risquées. En cas de persistance, une réinstallation propre du système et la vérification des sauvegardes s’avèrent recommandées, afin d’éviter une réinfection due à des composants persistants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    et une console java pas à jour, une de plus !
    ===

    C'est normal de trouver l'ip d'Eli Lilly sur ton ordi ?

    ===

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    O20 - AppInit_DLLs: . (...) - C:\Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll (.not file.)
    O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 413 MediaBar
    O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 414 MediaBar
    O69 - SBI: SearchScopes [HKCU] {0388404D-6072-4CEB-B521-8F090FEAEE57} - (Yahoo!) - http://klit.startnow.com
    O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} - (Web Search) - http://www.searchnu.com/
    [MD5.2E0B5C7437AB198A1AA2810BAA4E682B] [SPRF][08/11/2011] (...) -- C:\Users\BEN\Desktop\SoftonicFR_JDownloader_09579.exe   [30456832]
    O87 - FAEL: "{FDF14FE6-6DF4-441E-8BCC-FD139DCBDD5B}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
    O87 - FAEL: "{628C14DC-FE76-45FD-9D4D-61C66670B7FA}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
    [HKLM\Software\WOW6432Node\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
    [HKCU\Software\f6a7b2e5]
    O43 - CFD: 12/01/2012 - 00:11:38 - [0,004] -SH-D- C:\Users\BEN\AppData\Local\f6a7b2e5
    EmptyTemp
    R3 - URLSearchHook: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 0, 6) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll
    R3 - URLSearchHook: BittorrentBar_FR Toolbar [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\BittorrentBar_FR\prxtbBitt.dll
    R3 - URLSearchHook: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 0, 6) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll
    O2 - BHO: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France\tbSoft.dll
    O2 - BHO: BittorrentBar_FR [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\BittorrentBar_FR\prxtbBitt.dll
    O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar 
    [HKCU\Software\AppDataLow\Software\BittorrentBar_FR] 
    [HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
    [HKCU\Software\AppDataLow\Software\Conduit] 
    [HKCU\Software\AppDataLow\Software\Softonic_France]  
    [HKLM\Software\BittorrentBar_FR]  
    [HKLM\Software\Softonic_France]
    O43 - CFD: 10/10/2011 - 10:15:22 - [4,748] ----D- C:\Program Files (x86)\BittorrentBar_FR 
    O43 - CFD: 15/01/2012 - 08:28:30 - [2,407] ----D- C:\Program Files (x86)\Softonic_France 
    O69 - SBI: SearchScopes [HKCU] {85972AED-C06E-4656-8B11-C8029881C90D} [DefaultScope] - (BittorrentBar_FR Customized Web Search) - http://search.conduit.com  
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}]  
    [HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
    [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
    [HKCU\Software\AppDataLow\Software\BittorrentBar_FR]  
    [HKLM\Software\WOW6432Node\BittorrentBar_FR]  
    [HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
    [HKCU\Software\AppDataLow\Software\Softonic_France] 
    [HKLM\Software\WOW6432Node\Softonic_France]
    C:\Users\BEN\AppData\LocalLow\BittorrentBar_FR  
    C:\Users\BEN\AppData\LocalLow\Conduit  
    C:\Users\BEN\AppData\LocalLow\Softonic_France  
    C:\Program Files (x86)\BittorrentBar_FR  
    C:\Program Files (x86)\Softonic_France
    O4 - HKLM\..\Wow6432Node\Run: [StartNowToolbarHelper] C:\Program Files (x86)\StartNow Toolbar\ToolbarHelper.exe (.not file.)


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.

    ===

    Télécharge Roguekiller : https://www.luanagames.com/index.fr.html

    Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

    A ce moment là, tu le renommes en winlogon ou iexplore.

    Lance en option 1 (Rechercher).

    Poste le rapport ici.
    0
  2. tsubasa28 Messages postés 70 Statut Membre
     
    Bonjour,

    Voila le rapport ZHPfix

    Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-01-2012-09-36-26.txt
    Run by BEN at 15/01/2012 09:36:26
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Logiciel(s) ==========
    ABSENT Software Key: Searchqu 413 MediaBar
    ABSENT Software Key: Searchqu 414 MediaBar
    ABSENT Software Key: Softonic_France Toolbar

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\BEN\Desktop\SoftonicFR_JDownloader_09579.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: SearchScopes :{0388404D-6072-4CEB-B521-8F090FEAEE57}
    SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
    SUPPRIME Key: HKCU\Software\f6a7b2e5
    ABSENT Key: CLSID BHO: {364d4e0c-543f-4b85-abe3-19551139da4f}
    ABSENT Key: CLSID BHO: {ef79f67a-6ad7-4715-a0f8-932fca442023}
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\BittorrentBar_FR
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\ConduitSearchScopes
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\Softonic_France
    ABSENT Key: HKLM\Software\BittorrentBar_FR
    ABSENT Key: HKLM\Software\Softonic_France
    SUPPRIME Key: SearchScopes :{85972AED-C06E-4656-8B11-C8029881C90D}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}
    SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}
    ABSENT Key: HKCU\Software\AppDataLow\Software\BittorrentBar_FR
    SUPPRIME Key: HKLM\Software\WOW6432Node\BittorrentBar_FR
    ABSENT Key: HKCU\Software\AppDataLow\Software\Softonic_France
    SUPPRIME Key: HKLM\Software\WOW6432Node\Softonic_France

    ========== Valeur(s) du Registre ==========
    SUPPRIME {FDF14FE6-6DF4-441E-8BCC-FD139DCBDD5B}
    SUPPRIME {628C14DC-FE76-45FD-9D4D-61C66670B7FA}
    SUPPRIME URLSearchHook: {364d4e0c-543f-4b85-abe3-19551139da4f}
    ABSENT URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023}
    SUPPRIME RunValue: StartNowToolbarHelper

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME AppInit: \Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\BEN\AppData\Local\f6a7b2e5
    SUPPRIME Temporaires Windows: : 137
    SUPPRIME Folder: C:\Program Files (x86)\BittorrentBar_FR
    SUPPRIME Folder: C:\Program Files (x86)\Softonic_France
    SUPPRIME Folder: c:\users\ben\appdata\locallow\bittorrentbar_fr
    SUPPRIME Folder: c:\users\ben\appdata\locallow\conduit
    SUPPRIME Folder: c:\users\ben\appdata\locallow\softonic_france

    ========== Fichier(s) ==========
    ABSENT File: \program files\search~1\search~1\x64\datamngr.dll
    SUPPRIME File*: c:\users\ben\desktop\softonicfr_jdownloader_09579.exe
    SUPPRIME Temporaires Windows: : 6104
    SUPPRIME File: c:\program files (x86)\softonic_france\tbsoft.dll
    ABSENT File: c:\program files (x86)\bittorrentbar_fr\prxtbbitt.dll
    ABSENT Folder/File: c:\program files (x86)\bittorrentbar_fr

    ========== Récapitulatif ==========
    1 : Processus mémoire
    23 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    7 : Dossier(s)
    6 : Fichier(s)
    3 : Logiciel(s)

    End of clean in 00mn 19s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 15/01/2012 09:36:26 [3951]

    et le rapport Roguekiller :

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: BEN [Droits d'admin]
    Mode: Recherche -- Date : 15/01/2012 09:39:43

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [SUSP PATH] _uninst_11288524.lnk : C:\Users\BEN\AppData\Local\Temp\_uninst_11288524.bat -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤
    [ZeroAccess] sys32\consrv.dll present!

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 123a4fdaabdd6a429ead3165e7f91674
    [BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo
    3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    relance RogueKiller option 2 et poste le rapport.

    ===

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.
    0
  4. tsubasa28 Messages postés 70 Statut Membre
     
    RE

    Voila le rapport roguekiller

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: BEN [Droits d'admin]
    Mode: Suppression -- Date : 15/01/2012 10:30:19

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [SUSP PATH] _uninst_11288524.lnk : C:\Users\BEN\AppData\Local\Temp\_uninst_11288524.bat -> DELETED

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 123a4fdaabdd6a429ead3165e7f91674
    [BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo
    2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo
    3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[5].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

    J'ai remarqué quelque chose. En supprimant le fichier consrv.dll, roguekiller ne repère plus zero access

    Et le contenu de la clé

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
    "Debug"=hex(2):00,00
    @="mnmsrvc"
    "Kmode"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
    00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,69,00,\
    6e,00,33,00,32,00,6b,00,2e,00,73,00,79,00,73,00,00,00
    "Optional"=hex(7):50,00,6f,00,73,00,69,00,78,00,00,00,00,00
    "Posix"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
    00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,70,00,\
    73,00,78,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00
    "Required"=hex(7):44,00,65,00,62,00,75,00,67,00,00,00,57,00,69,00,6e,00,64,00,\
    6f,00,77,00,73,00,00,00,00,00
    "Windows"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
    00,73,00,72,00,73,00,73,00,2e,00,65,00,78,00,65,00,20,00,4f,00,62,00,6a,00,\
    65,00,63,00,74,00,44,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,00,79,00,3d,\
    00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,68,00,61,00,\
    72,00,65,00,64,00,53,00,65,00,63,00,74,00,69,00,6f,00,6e,00,3d,00,31,00,30,\
    00,32,00,34,00,2c,00,32,00,30,00,34,00,38,00,30,00,2c,00,37,00,36,00,38,00,\
    20,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,3d,00,4f,00,6e,00,20,00,53,\
    00,75,00,62,00,53,00,79,00,73,00,74,00,65,00,6d,00,54,00,79,00,70,00,65,00,\
    3d,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,65,00,72,00,76,\
    00,65,00,72,00,44,00,6c,00,6c,00,3d,00,62,00,61,00,73,00,65,00,73,00,72,00,\
    76,00,2c,00,31,00,20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,\
    00,3d,00,77,00,69,00,6e,00,73,00,72,00,76,00,3a,00,55,00,73,00,65,00,72,00,\
    53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,\
    00,69,00,61,00,6c,00,69,00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,33,00,\
    20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,63,00,6f,\
    00,6e,00,73,00,72,00,76,00,3a,00,43,00,6f,00,6e,00,53,00,65,00,72,00,76,00,\
    65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,00,69,00,61,00,6c,00,69,\
    00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,32,00,20,00,53,00,65,00,72,00,\
    76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,73,00,78,00,73,00,73,00,72,00,76,\
    00,2c,00,34,00,20,00,50,00,72,00,6f,00,66,00,69,00,6c,00,65,00,43,00,6f,00,\
    6e,00,74,00,72,00,6f,00,6c,00,3d,00,4f,00,66,00,66,00,20,00,4d,00,61,00,78,\
    00,52,00,65,00,71,00,75,00,65,00,73,00,74,00,54,00,68,00,72,00,65,00,61,00,\
    64,00,73,00,3d,00,31,00,36,00,00,00

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    En supprimant le fichier consrv.dll, roguekiller ne repère plus zero access

    Certes.

    Mais, heureusement pour toi, soit la clé n'avait pas été modifiée, soit Kaspersky remove tool avait remis la clé en état (mais alors, pourquoi a-t-il laissé le fichier ?).

    Sinon, écran bleu à répétition avec pour seule option la réparation ndu registre avec un live CD.

    ===

    D'ailleurs, comme je ne sais pas quand l'ordi a redémarré, tu ouvres la valeur Windows de

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

    Clic droit et modifier et tu parcours le contenu (en caractères et pas en hexa) pour vérifier que consrv.dll n'y est pas.

    Si tu le trouves, remplacement par winsrv.dll en urgence.

    ===

    Après ça, mise à jour des consoles java.

    Puis tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport dans un lien pjjoint.
    0
  7. tsubasa28 Messages postés 70 Statut Membre
     
    Re

    Mon ordi s'est coupé et en le relançant pas moyen de lancer windows 7, j'ai du faire une restauration. Suite à mon scan avec Kasperky remove tool, j'avais crée une date de restauration manuelle.

    J'ai redemarré à cette date

    Je suis allé voir la clé, impossible de changer consrv:Con en winsrv:Con

    Merci
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    impossible de changer consrv:Con en winsrv:Con

    tu n'as pas consrv.dll dans la clé ?
    0
  9. tsubasa28 Messages postés 70 Statut Membre
     
    Re,

    Je t'ai copié la clé /

    %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    alors dans

    ServerDll=consrv:ConServerDllInitialization

    tu remplaces

    consrv par

    winsrv

    (après clic droit sur Windows et dans Modifier).
    0
  11. tsubasa28 Messages postés 70 Statut Membre
     
    Re,

    Malheureusement, ca ne marche pas

    Quand je remplace consrv par winsrv, cela revient à consrv lorsque je vérifie si la manipulation à fonctionner
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    qui est propriétaire de la clé ?

    Quelles sont les autorisations du Propriétaire ?

    Et du compte que tu utilises ?
    0
  13. tsubasa28 Messages postés 70 Statut Membre
     
    Re,

    Je ne comprends pas trop ta question ?

    C'est mon compte, lorsque je demarre windows, je rentre mon mot de passe
    0
    1. vieu bison boiteu Messages postés 44334 Date d'inscription   Statut Contributeur Dernière intervention   3 591
       
      salut à tous

      ce sont les autorisations dans la Base De Registre
      https://www.cjoint.com/?BApodWxwE3a
      quand tu cliques "droit' sur le dernier répertoire jaune à gauche , et que tu choisis
      "autorisation ..."
      il faut tous les autorisés en modification pour avoir le contrôle total

      à+
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu ouvres le registre, tu vas sur la clé;

    Clic droit et Propriétés.

    Là, tu as des possibilités pour connaître le Propriétaire de la clé et les autorisations des utilisateurs.
    0
    1. tsubasa28 Messages postés 70 Statut Membre
       
      Re,


      Je vais donc dans regedit, descend l'arborescence jusque windows et je fais un clic droit pour la fenetre modification de la chaine. Si c'est la, quand je fais un clic droit sur la clé, je n'ai de proposition "propriété"
      0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    non, tu ne vas pas jusqu'à Windows (qui est une valeur de clé, dans la fenêtre de droite);

    Tu reste sur la fenêtre de gauche (la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems).
    0
  16. tsubasa28 Messages postés 70 Statut Membre
     
    Re,

    Une fois cliqué sur subsystem, je fais un clic droit, on me propose en autre

    Autorisation
    Copier le nom de la clé
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    clique sur Autorisations

    Tu vas avoir un Panneau de visualisation des autorisations.

    Si tu cliques sur Avancé, tu pourras accéder aux infos sur le Propriétaire.
    0
    1. tsubasa28 Messages postés 70 Statut Membre
       
      Re,

      Donc il y a ecrit :

      Administrateur (Ben-HP\Administrateur), c'est ecrit dans la case administrateur actuel

      et dessous

      Ben (Ben-Hp\Ben) avec le premier nommé dans la case selectionné un nouvel utilisateur
      0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    ça ne me dit pas :

    - qui est Propriétaire de la clé

    - quelles sont les autorisations des divers comptes (administrateurs, utilisateurs, ...)

    De plus, tu n'as pas répondu à ma première question (sur l'ip).
    0
  19. tsubasa28 Messages postés 70 Statut Membre
     
    Re,

    Je suis vraiment pas doué, désolé mais je ne sais pas comment faire

    Comment je fais pour savoir qui est le propriétaire de la clé et les autorisations des divers comptes ?

    Merci d'avance
    0
  20. tsubasa28 Messages postés 70 Statut Membre
     
    Re

    Je vais t'écrire ce qu'il y a de marqué quand je clique sur l'onglet autorisation:

    Autoriser Utilisateur (Ben-HP\Utilisateur) lecture MACHINE SYSTEME la clé et les sous clé

    Autoriser Administrateur (Ben-HP\Administrateur) Controle total MACHINE SYSTEME la clé et les sous clé

    Autoriser Système Controle total MACHINE SYSTEME La clé et les sous clé

    Autoriser CREATEUR PROPRIETAIRE Spécial MACHINE SYSTEME Les sous clés seulement
    0
  • 1
  • 2
  • 3