Decryptage rapport ZHPdiag
tsubasa28
Messages postés
70
Statut
Membre
-
tsubasa28 Messages postés 70 Statut Membre -
tsubasa28 Messages postés 70 Statut Membre -
Bonsoir,
Suite à une infection au rookit zero access, je viens d'utiliser Kaspersky remove tool pour essayer de l'éradiquer
Je viens de lancer ZHPdiag, quelqu'un peut consulter le rapport et me dire si il y a du mieux
Merci d'avance
Voila le rapport :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120115_f14u9f5m13n13
Suite à une infection au rookit zero access, je viens d'utiliser Kaspersky remove tool pour essayer de l'éradiquer
Je viens de lancer ZHPdiag, quelqu'un peut consulter le rapport et me dire si il y a du mieux
Merci d'avance
Voila le rapport :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120115_f14u9f5m13n13
A voir également:
- Decryptage rapport ZHPdiag
- Zhpdiag - Télécharger - Informations & Diagnostic
- Plan rapport de stage - Guide
- Zhpdiag avis - Forum Antivirus
- ZHPDiag avis ✓ - Forum Virus
- Thème rapport de stage comptabilité - Forum Word
47 réponses
Re,
Je suis vraiment pas doué,
C'était beaucoup plus facile quand il suffisait de recommencer les procédures de Guillaume5188 !
Pour trouver le Propriétaire, tu fais comme dit ici :
https://forums.commentcamarche.net/forum/affich-24188768-decryptage-rapport-zhpdiag#19
Je suis vraiment pas doué,
C'était beaucoup plus facile quand il suffisait de recommencer les procédures de Guillaume5188 !
Pour trouver le Propriétaire, tu fais comme dit ici :
https://forums.commentcamarche.net/forum/affich-24188768-decryptage-rapport-zhpdiag#19
Re
L'utilsateur actuel de la clé c'est Administrateur (Ben-HP\ Administrateur)
Pour les autorisations, voila ce qu'il y a de noter
Autoriser Administrateur (Ben-HP\Administrateur) Special <Non héritée> Cette clé seulement
Autoriser CREATEUR PROPRIETAIRE Special <non héritée> Les sous clés seulement
Autoriser Utilisateur (Ben-HP\Utilisateur) lecture MACHINE SYSTEME la clé et les sous clé
Autoriser Administrateur (Ben-HP\Administrateur) Controle total MACHINE SYSTEME la clé et les sous clé
Autoriser Système Controle total MACHINE SYSTEME La clé et les sous clé
Autoriser CREATEUR PROPRIETAIRE Spécial MACHINE SYSTEME Les sous clés seulement
Merci
L'utilsateur actuel de la clé c'est Administrateur (Ben-HP\ Administrateur)
Pour les autorisations, voila ce qu'il y a de noter
Autoriser Administrateur (Ben-HP\Administrateur) Special <Non héritée> Cette clé seulement
Autoriser CREATEUR PROPRIETAIRE Special <non héritée> Les sous clés seulement
Autoriser Utilisateur (Ben-HP\Utilisateur) lecture MACHINE SYSTEME la clé et les sous clé
Autoriser Administrateur (Ben-HP\Administrateur) Controle total MACHINE SYSTEME la clé et les sous clé
Autoriser Système Controle total MACHINE SYSTEME La clé et les sous clé
Autoriser CREATEUR PROPRIETAIRE Spécial MACHINE SYSTEME Les sous clés seulement
Merci
Re,
ceci ne me dit pas qui est Propriétaire.
Je t'ai indiqué ce qu'il faut faire pour avoir cette information.
ceci ne me dit pas qui est Propriétaire.
Je t'ai indiqué ce qu'il faut faire pour avoir cette information.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
on va commencer par leurrer le système.
Tu ouvres l'Explorateur Windows, tu cherches C:\Windows\System32\winsrv.dll
Tu fais un clic droit sur le fichier et tu choisis Copier.
Tu mets le curseur dans un endroit vide de la fenêtre de droite, tu fais clic droit et Coller;
Un fichier winsrv-copie.dll a été créé.
Clic droit et Renommer.
Tu le renommes consrv.dll
Tu fermes l'Explorateur Windows.
Tu vérifies que le fichier a bien été créé.
Tu fais redémarrer l'ordi;
Tu me dis si le redémarrage s'est fait normalement.
Si un logiciel veut supprimer ou mettre en quarantaine le fichier, tu réponds Non.
on va commencer par leurrer le système.
Tu ouvres l'Explorateur Windows, tu cherches C:\Windows\System32\winsrv.dll
Tu fais un clic droit sur le fichier et tu choisis Copier.
Tu mets le curseur dans un endroit vide de la fenêtre de droite, tu fais clic droit et Coller;
Un fichier winsrv-copie.dll a été créé.
Clic droit et Renommer.
Tu le renommes consrv.dll
Tu fermes l'Explorateur Windows.
Tu vérifies que le fichier a bien été créé.
Tu fais redémarrer l'ordi;
Tu me dis si le redémarrage s'est fait normalement.
Si un logiciel veut supprimer ou mettre en quarantaine le fichier, tu réponds Non.
Re,
alors on réessaye de modifier la valeur de clé de registre.
Tu retournes sur la valeur de clé.
Tu changes consrv en winsrv et tu cliques sur OK.
Tu fais redémarrer l'ordi (démarrer, Arrêter). Windows fermera les applications tout seul.
Tu redémarres et tu regardes si la clé est restée en winsrv.
alors on réessaye de modifier la valeur de clé de registre.
Tu retournes sur la valeur de clé.
Tu changes consrv en winsrv et tu cliques sur OK.
Tu fais redémarrer l'ordi (démarrer, Arrêter). Windows fermera les applications tout seul.
Tu redémarres et tu regardes si la clé est restée en winsrv.
Re
Malheureusement c'est revenu sur consrv.dll
En fait dans C: windows/system32, j'ai 2 fichiers consrv.dll
celui d'origine et celui qu'on a crée consrv(2).dll
C'est normal ?
Malheureusement c'est revenu sur consrv.dll
En fait dans C: windows/system32, j'ai 2 fichiers consrv.dll
celui d'origine et celui qu'on a crée consrv(2).dll
C'est normal ?
Re,
c'est infernal de ne pas pouvoir avoir une information fiable.
Tu supprimes consrv.dll puis
tu renommes consrv(2).dll en consrv.dll
Tu fais redémarrer l'ordi.
c'est infernal de ne pas pouvoir avoir une information fiable.
Tu supprimes consrv.dll puis
tu renommes consrv(2).dll en consrv.dll
Tu fais redémarrer l'ordi.
Re,
Impossible de relancer l'ordi en mode normal et en mode sans échec, j'arrive jusqu'au bureau mais 10s plus tard l'ordi redemarre
J'ai restauré l'ordi à un point que j'avais crée avant que l'on commence cette manip
Impossible de relancer l'ordi en mode normal et en mode sans échec, j'arrive jusqu'au bureau mais 10s plus tard l'ordi redemarre
J'ai restauré l'ordi à un point que j'avais crée avant que l'on commence cette manip
Bonjour,
Dis moi Lyonnais92, est ce que tu penses que faire une restauration d'usine serait une bonne idée. Avant de venir sur le forum et de me faire aider dans un premier temps par Guillaume puis par toi, j'avais essayer de le dégager et fait tout et n'importe quoi. Cela permettrait peut etre de reprendre l'élimination du virus de zero
Sinon j'ai fait un scan avec malwerabite
Voici le rapport
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.11.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BEN :: BEN-HP [administrateur]
16/01/2012 05:30:22
mbam-log-2012-01-16 (05-30-22).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 340451
Temps écoulé: 47 minute(s), 4 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Windows\assembly\tmp\U\000000c0.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000cb.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
Merci d'avance
Dis moi Lyonnais92, est ce que tu penses que faire une restauration d'usine serait une bonne idée. Avant de venir sur le forum et de me faire aider dans un premier temps par Guillaume puis par toi, j'avais essayer de le dégager et fait tout et n'importe quoi. Cela permettrait peut etre de reprendre l'élimination du virus de zero
Sinon j'ai fait un scan avec malwerabite
Voici le rapport
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.11.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BEN :: BEN-HP [administrateur]
16/01/2012 05:30:22
mbam-log-2012-01-16 (05-30-22).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 340451
Temps écoulé: 47 minute(s), 4 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 4
C:\Windows\assembly\tmp\U\000000c0.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\tmp\U\800000cb.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
Merci d'avance
Bonsoir,
tu as une sauvegarde de tes fichiers personnels ?
Et les sources (ou les moyens de les retrouver) des logiciels que tu as installé après l'achat ?
Si oui, la restauration départ usine est une possibilité.
Mais la solution la plus simple est de modifier le registre (il faut trouver avec quoi).
Tu as Combofix d'installé ?
Si oui, je te ferai faire une manip avec.
tu as une sauvegarde de tes fichiers personnels ?
Et les sources (ou les moyens de les retrouver) des logiciels que tu as installé après l'achat ?
Si oui, la restauration départ usine est une possibilité.
Mais la solution la plus simple est de modifier le registre (il faut trouver avec quoi).
Tu as Combofix d'installé ?
Si oui, je te ferai faire une manip avec.
Re,
j'espère que tu as bien mis Combofix sur ton Bureau.
Fais ceci :
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Vérifie si la clé a été modifié (plus de consvr).
j'espère que tu as bien mis Combofix sur ton Bureau.
Fais ceci :
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Registry:: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,63,73,72,73,73,2e,65,78,65,20,4f,62,6a,65,63,74,44,69,72,65,63,74,6f,\ 72,79,3d,5c,57,69,6e,64,6f,77,73,20,53,68,61,72,65,64,53,65,63,74,69,6f,6e,\ 3d,31,30,32,34,2c,33,30,37,32,2c,35,31,32,20,57,69,6e,64,6f,77,73,3d,4f,6e,\ 20,53,75,62,53,79,73,74,65,6d,54,79,70,65,3d,57,69,6e,64,6f,77,73,20,53,65,\ 72,76,65,72,44,6c,6c,3d,62,61,73,65,73,72,76,2c,31,20,53,65,72,76,65,72,44,\ 6c,6c,3d,77,69,6e,73,72,76,3a,55,73,65,72,53,65,72,76,65,72,44,6c,6c,49,6e,\ 69,74,69,61,6c,69,7a,61,74,69,6f,6e,2c,33,20,53,65,72,76,65,72,44,6c,6c,3d,\ 77,69,6e,73,72,76,3a,43,6f,6e,53,65,72,76,65,72,44,6c,6c,49,6e,69,74,69,61,\ 6c,69,7a,61,74,69,6f,6e,2c,32,20,50,72,6f,66,69,6c,65,43,6f,6e,74,72,6f,6c,\ 3d,4f,66,66,20,4d,61,78,52,65,71,75,65,73,74,54,68,72,65,61,64,73,3d,31,36,\ 00
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Vérifie si la clé a été modifié (plus de consvr).
Re
Impossible de redemarrer l'ordi, écran bleu avec texte en anglais qui apparait après disparation du logo windows
J'ai du restaurer
Je te souhaine une bonne fin de soirée,
Impossible de redemarrer l'ordi, écran bleu avec texte en anglais qui apparait après disparation du logo windows
J'ai du restaurer
Je te souhaine une bonne fin de soirée,
Re,
on fait une dernière tentative.
Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :
*****************************
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes
Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
on fait une dernière tentative.
Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :
*****************************
REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\ 32,5c,63,73,72,73,73,2e,65,78,65,20,4f,62,6a,65,63,74,44,69,72,65,63,74,6f,\ 72,79,3d,5c,57,69,6e,64,6f,77,73,20,53,68,61,72,65,64,53,65,63,74,69,6f,6e,\ 3d,31,30,32,34,2c,33,30,37,32,2c,35,31,32,20,57,69,6e,64,6f,77,73,3d,4f,6e,\ 20,53,75,62,53,79,73,74,65,6d,54,79,70,65,3d,57,69,6e,64,6f,77,73,20,53,65,\ 72,76,65,72,44,6c,6c,3d,62,61,73,65,73,72,76,2c,31,20,53,65,72,76,65,72,44,\ 6c,6c,3d,77,69,6e,73,72,76,3a,55,73,65,72,53,65,72,76,65,72,44,6c,6c,49,6e,\ 69,74,69,61,6c,69,7a,61,74,69,6f,6e,2c,33,20,53,65,72,76,65,72,44,6c,6c,3d,\ 77,69,6e,73,72,76,3a,43,6f,6e,53,65,72,76,65,72,44,6c,6c,49,6e,69,74,69,61,\ 6c,69,7a,61,74,69,6f,6e,2c,32,20,50,72,6f,66,69,6c,65,43,6f,6e,74,72,6f,6c,\ 3d,4f,66,66,20,4d,61,78,52,65,71,75,65,73,74,54,68,72,65,61,64,73,3d,31,36,\ 00
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes
Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
