Decryptage rapport ZHPdiag

Question

Bonsoir, 



Suite à une infection au rookit zero access, je viens d'utiliser Kaspersky remove tool pour essayer de l'éradiquer

Je viens de lancer ZHPdiag, quelqu'un peut consulter le rapport et me dire si il y a du mieux 

Merci d'avance

Voila le rapport :

 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120115_f14u9f5m13n13

Lyonnais92 · Answer

Bonsoir,

et une console java pas à jour, une de plus !
===

C'est normal de trouver l'ip d'Eli Lilly sur ton ordi ?

===

 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O20 - AppInit_DLLs: . (...) - C:\Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll (.not file.)
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 413 MediaBar
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 414 MediaBar
O69 - SBI: SearchScopes [HKCU] {0388404D-6072-4CEB-B521-8F090FEAEE57} - (Yahoo!) - http://klit.startnow.com
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} - (Web Search) - http://www.searchnu.com/
[MD5.2E0B5C7437AB198A1AA2810BAA4E682B] [SPRF][08/11/2011] (...) -- C:\Users\BEN\Desktop\SoftonicFR_JDownloader_09579.exe   [30456832]
O87 - FAEL: "{FDF14FE6-6DF4-441E-8BCC-FD139DCBDD5B}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
O87 - FAEL: "{628C14DC-FE76-45FD-9D4D-61C66670B7FA}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[HKCU\Software\f6a7b2e5]
O43 - CFD: 12/01/2012 - 00:11:38 - [0,004] -SH-D- C:\Users\BEN\AppData\Local\f6a7b2e5
EmptyTemp
R3 - URLSearchHook: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 0, 6) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
R3 - URLSearchHook: BittorrentBar_FR Toolbar [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\BittorrentBar_FR\prxtbBitt.dll
R3 - URLSearchHook: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 0, 6) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
O2 - BHO: Softonic France Toolbar [64Bits] - {364d4e0c-543f-4b85-abe3-19551139da4f} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Softonic_France	bSoft.dll
O2 - BHO: BittorrentBar_FR [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\BittorrentBar_FR\prxtbBitt.dll
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar 
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR] 
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
[HKCU\Software\AppDataLow\Software\Conduit] 
[HKCU\Software\AppDataLow\Software\Softonic_France]  
[HKLM\Software\BittorrentBar_FR]  
[HKLM\Software\Softonic_France]
O43 - CFD: 10/10/2011 - 10:15:22 - [4,748] ----D- C:\Program Files (x86)\BittorrentBar_FR 
O43 - CFD: 15/01/2012 - 08:28:30 - [2,407] ----D- C:\Program Files (x86)\Softonic_France 
O69 - SBI: SearchScopes [HKCU] {85972AED-C06E-4656-8B11-C8029881C90D} [DefaultScope] - (BittorrentBar_FR Customized Web Search) - http://search.conduit.com  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}]  
[HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}] 
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR]  
[HKLM\Software\WOW6432Node\BittorrentBar_FR]  
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
[HKCU\Software\AppDataLow\Software\Softonic_France] 
[HKLM\Software\WOW6432Node\Softonic_France]
C:\Users\BEN\AppData\LocalLow\BittorrentBar_FR  
C:\Users\BEN\AppData\LocalLow\Conduit  
C:\Users\BEN\AppData\LocalLow\Softonic_France  
C:\Program Files (x86)\BittorrentBar_FR  
C:\Program Files (x86)\Softonic_France
O4 - HKLM\..\Wow6432Node\Run: [StartNowToolbarHelper] C:\Program Files (x86)\StartNow Toolbar\ToolbarHelper.exe (.not file.)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Télécharge Roguekiller : https://www.luanagames.com/index.fr.html

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 1 (Rechercher).

Poste le rapport ici.

tsubasa28 · Answer

Bonjour, Voila le rapport ZHPfix Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-01-2012-09-36-26.txt Run by BEN at 15/01/2012 09:36:26 Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Web site : http://nicolascoolman.skyrock.com/ ========== Logiciel(s) ========== ABSENT Software Key: Searchqu 413 MediaBar ABSENT Software Key: Searchqu 414 MediaBar ABSENT Software Key: Softonic_France Toolbar ========== Processus mémoire ========== SUPPRIME Memory Process: C:\Users\BEN\Desktop\SoftonicFR_JDownloader_09579.exe ========== Clé(s) du Registre ========== SUPPRIME Key: SearchScopes :{0388404D-6072-4CEB-B521-8F090FEAEE57} SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} SUPPRIME Key: HKCU\Software\f6a7b2e5 ABSENT Key: CLSID BHO: {364d4e0c-543f-4b85-abe3-19551139da4f} ABSENT Key: CLSID BHO: {ef79f67a-6ad7-4715-a0f8-932fca442023} SUPPRIME Key: HKCU\Software\AppDataLow\Software\BittorrentBar_FR SUPPRIME Key: HKCU\Software\AppDataLow\Software\ConduitSearchScopes SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit SUPPRIME Key: HKCU\Software\AppDataLow\Software\Softonic_France ABSENT Key: HKLM\Software\BittorrentBar_FR ABSENT Key: HKLM\Software\Softonic_France SUPPRIME Key: SearchScopes :{85972AED-C06E-4656-8B11-C8029881C90D} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023} SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023} SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023} ABSENT Key: HKCU\Software\AppDataLow\Software\BittorrentBar_FR SUPPRIME Key: HKLM\Software\WOW6432Node\BittorrentBar_FR ABSENT Key: HKCU\Software\AppDataLow\Software\Softonic_France SUPPRIME Key: HKLM\Software\WOW6432Node\Softonic_France ========== Valeur(s) du Registre ========== SUPPRIME {FDF14FE6-6DF4-441E-8BCC-FD139DCBDD5B} SUPPRIME {628C14DC-FE76-45FD-9D4D-61C66670B7FA} SUPPRIME URLSearchHook: {364d4e0c-543f-4b85-abe3-19551139da4f} ABSENT URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} SUPPRIME RunValue: StartNowToolbarHelper ========== Elément(s) de donnée du Registre ========== SUPPRIME AppInit: \Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll ========== Dossier(s) ========== SUPPRIME Folder: C:\Users\BEN\AppData\Local\f6a7b2e5 SUPPRIME Temporaires Windows: : 137 SUPPRIME Folder: C:\Program Files (x86)\BittorrentBar_FR SUPPRIME Folder: C:\Program Files (x86)\Softonic_France SUPPRIME Folder: c:\users\ben\appdata\locallow\bittorrentbar_fr SUPPRIME Folder: c:\users\ben\appdata\locallow\conduit SUPPRIME Folder: c:\users\ben\appdata\locallow\softonic_france ========== Fichier(s) ========== ABSENT File: \program files\search~1\search~1\x64\datamngr.dll SUPPRIME File*: c:\users\ben\desktop\softonicfr_jdownloader_09579.exe SUPPRIME Temporaires Windows: : 6104 SUPPRIME File: c:\program files (x86)\softonic_france bsoft.dll ABSENT File: c:\program files (x86)\bittorrentbar_fr\prxtbbitt.dll ABSENT Folder/File: c:\program files (x86)\bittorrentbar_fr ========== Récapitulatif ========== 1 : Processus mémoire 23 : Clé(s) du Registre 5 : Valeur(s) du Registre 1 : Elément(s) de donnée du Registre 7 : Dossier(s) 6 : Fichier(s) 3 : Logiciel(s) End of clean in 00mn 19s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 15/01/2012 09:36:26 [3951] et le rapport Roguekiller : RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: BEN [Droits d'admin] Mode: Recherche -- Date : 15/01/2012 09:39:43 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [SUSP PATH] _uninst_11288524.lnk : C:\Users\BEN\AppData\Local\Temp\_uninst_11288524.bat -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] sys32\consrv.dll present! ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 123a4fdaabdd6a429ead3165e7f91674 [BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo 1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo 2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo 3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Lyonnais92 · Answer

Bonjour,

relance RogueKiller option 2 et poste le rapport.

===

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

tsubasa28 · Answer

RE Voila le rapport roguekiller RogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: BEN [Droits d'admin] Mode: Suppression -- Date : 15/01/2012 10:30:19 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 1 ¤¤¤ [SUSP PATH] _uninst_11288524.lnk : C:\Users\BEN\AppData\Local\Temp\_uninst_11288524.bat -> DELETED ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 123a4fdaabdd6a429ead3165e7f91674 [BSP] b1fd5ba1771963f3e01ed96537151e16 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 208 Mo 1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 409600 | Size: 624703 Mo 2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 1220534272 | Size: 15112 Mo 3 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 1250050048 | Size: 108 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt J'ai remarqué quelque chose. En supprimant le fichier consrv.dll, roguekiller ne repère plus zero access Et le contenu de la clé Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Debug"=hex(2):00,00 @="mnmsrvc" "Kmode"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,69,00,\ 6e,00,33,00,32,00,6b,00,2e,00,73,00,79,00,73,00,00,00 "Optional"=hex(7):50,00,6f,00,73,00,69,00,78,00,00,00,00,00 "Posix"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,70,00,\ 73,00,78,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00 "Required"=hex(7):44,00,65,00,62,00,75,00,67,00,00,00,57,00,69,00,6e,00,64,00,\ 6f,00,77,00,73,00,00,00,00,00 "Windows"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\ 00,73,00,72,00,73,00,73,00,2e,00,65,00,78,00,65,00,20,00,4f,00,62,00,6a,00,\ 65,00,63,00,74,00,44,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,00,79,00,3d,\ 00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,68,00,61,00,\ 72,00,65,00,64,00,53,00,65,00,63,00,74,00,69,00,6f,00,6e,00,3d,00,31,00,30,\ 00,32,00,34,00,2c,00,32,00,30,00,34,00,38,00,30,00,2c,00,37,00,36,00,38,00,\ 20,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,3d,00,4f,00,6e,00,20,00,53,\ 00,75,00,62,00,53,00,79,00,73,00,74,00,65,00,6d,00,54,00,79,00,70,00,65,00,\ 3d,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,65,00,72,00,76,\ 00,65,00,72,00,44,00,6c,00,6c,00,3d,00,62,00,61,00,73,00,65,00,73,00,72,00,\ 76,00,2c,00,31,00,20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,\ 00,3d,00,77,00,69,00,6e,00,73,00,72,00,76,00,3a,00,55,00,73,00,65,00,72,00,\ 53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,\ 00,69,00,61,00,6c,00,69,00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,33,00,\ 20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,63,00,6f,\ 00,6e,00,73,00,72,00,76,00,3a,00,43,00,6f,00,6e,00,53,00,65,00,72,00,76,00,\ 65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,00,69,00,61,00,6c,00,69,\ 00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,32,00,20,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,73,00,78,00,73,00,73,00,72,00,76,\ 00,2c,00,34,00,20,00,50,00,72,00,6f,00,66,00,69,00,6c,00,65,00,43,00,6f,00,\ 6e,00,74,00,72,00,6f,00,6c,00,3d,00,4f,00,66,00,66,00,20,00,4d,00,61,00,78,\ 00,52,00,65,00,71,00,75,00,65,00,73,00,74,00,54,00,68,00,72,00,65,00,61,00,\ 64,00,73,00,3d,00,31,00,36,00,00,00 Merci

Utilisateur anonyme · Answer

Bonjour Lyonnais92

https://forums.commentcamarche.net/forum/affich-24162952-probleme-virus-win-32-sirefef-jq?page=3#top



Bonne continuation

@+

Lyonnais92 · Answer

Bonjour,

En supprimant le fichier consrv.dll, roguekiller ne repère plus zero access 

Certes.

Mais, heureusement pour toi, soit la clé n'avait pas été modifiée, soit Kaspersky remove tool avait remis la clé en état (mais alors, pourquoi a-t-il laissé le fichier ?).

Sinon, écran bleu à répétition avec pour seule option la réparation ndu registre avec un live CD.

===

D'ailleurs, comme je ne sais pas quand l'ordi a redémarré, tu ouvres la valeur Windows de

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] 

Clic droit et modifier et tu parcours le contenu (en caractères et pas en hexa) pour vérifier que consrv.dll n'y est pas.

Si tu le trouves, remplacement par winsrv.dll en urgence.

===

Après ça, mise à jour des consoles java.

Puis tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport dans un lien pjjoint.

tsubasa28 · Answer

Re

Mon ordi s'est coupé et en le relançant pas moyen de lancer windows 7, j'ai du faire une restauration. Suite à mon scan avec Kasperky remove tool, j'avais crée une date de restauration manuelle.

J'ai redemarré à cette date

Je suis allé voir la clé, impossible de changer consrv:Con en winsrv:Con


Merci

Lyonnais92 · Answer

Re,

impossible de changer consrv:Con en winsrv:Con


tu n'as pas consrv.dll dans la clé ?

tsubasa28 · Answer

Re,

Je t'ai copié la clé /

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16

Lyonnais92 · Answer

Re,

alors dans

ServerDll=consrv:ConServerDllInitialization

tu remplaces 

consrv par

winsrv

(après clic droit sur Windows et dans Modifier).

tsubasa28 · Answer

Re,  

Malheureusement, ca ne marche pas 

Quand je remplace consrv par winsrv, cela revient à consrv lorsque je vérifie si la manipulation à fonctionner

Lyonnais92 · Answer

Re,

qui est propriétaire de la clé ?

Quelles sont les autorisations du Propriétaire ?

Et du compte que tu utilises ?

tsubasa28 · Answer

Re, 


Je ne comprends pas trop ta question ?


C'est mon compte, lorsque je demarre windows, je rentre mon mot de passe

Lyonnais92 · Answer

Re,

tu ouvres le registre, tu vas sur la clé;

Clic droit et Propriétés.

Là, tu as des possibilités pour connaître le Propriétaire de la clé et les autorisations des utilisateurs.

Lyonnais92 · Answer

Re,

non, tu ne vas pas jusqu'à Windows (qui est une valeur de clé, dans la fenêtre de droite);

Tu reste sur la fenêtre de gauche (la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems).

tsubasa28 · Answer

Re,

Une fois cliqué sur subsystem, je fais un clic droit, on me propose en autre 

Autorisation
Copier le nom de la clé

Lyonnais92 · Answer

Re,

clique sur Autorisations

Tu vas avoir un Panneau de visualisation des autorisations.

Si tu cliques sur Avancé, tu pourras accéder aux infos sur le Propriétaire.

Lyonnais92 · Answer

Re,

ça ne me dit pas : 

- qui est Propriétaire de la clé

- quelles sont les autorisations des divers comptes (administrateurs, utilisateurs, ...)


De plus, tu n'as pas répondu à ma première question (sur l'ip).

tsubasa28 · Answer

Re,


Je suis vraiment pas doué, désolé mais je ne sais pas comment faire


Comment je fais pour savoir qui est le propriétaire de la clé et les autorisations des divers comptes ?

Merci d'avance

tsubasa28 · Answer

Re

Je vais t'écrire ce qu'il y a de marqué quand je clique sur l'onglet autorisation:


Autoriser  Utilisateur (Ben-HP\Utilisateur) lecture  MACHINE SYSTEME  la clé et les sous clé

Autoriser  Administrateur (Ben-HP\Administrateur) Controle total  MACHINE SYSTEME  la clé et les sous clé

Autoriser  Système  Controle total  MACHINE SYSTEME  La clé et les sous clé

Autoriser  CREATEUR PROPRIETAIRE  Spécial  MACHINE SYSTEME  Les sous clés seulement

Lyonnais92 · Answer

Re,

Je suis vraiment pas doué, 

C'était beaucoup plus facile quand il suffisait de recommencer les procédures de Guillaume5188 !

Pour trouver le Propriétaire, tu fais comme dit ici :

https://forums.commentcamarche.net/forum/affich-24188768-decryptage-rapport-zhpdiag#19

tsubasa28 · Answer

Re L'utilsateur actuel de la clé c'est Administrateur (Ben-HP\ Administrateur) Pour les autorisations, voila ce qu'il y a de noter Autoriser Administrateur (Ben-HP\Administrateur) Special Cette clé seulement Autoriser CREATEUR PROPRIETAIRE Special Les sous clés seulement Autoriser Utilisateur (Ben-HP\Utilisateur) lecture MACHINE SYSTEME la clé et les sous clé Autoriser Administrateur (Ben-HP\Administrateur) Controle total MACHINE SYSTEME la clé et les sous clé Autoriser Système Controle total MACHINE SYSTEME La clé et les sous clé Autoriser CREATEUR PROPRIETAIRE Spécial MACHINE SYSTEME Les sous clés seulement Merci

Lyonnais92 · Answer

Re,

ceci ne me dit pas qui est Propriétaire.

Je t'ai indiqué ce qu'il faut faire pour avoir cette information.

tsubasa28 · Answer

Re,


Le propriétaire de la clé c'est Administrateur(Ben-Hp\Administrateur)

Lyonnais92 · Answer

Re,

on va commencer par leurrer le système.

Tu ouvres l'Explorateur Windows, tu cherches C:\Windows\System32\winsrv.dll

Tu fais un clic droit sur le fichier et tu choisis Copier.

Tu mets le curseur dans un endroit vide de la fenêtre de droite, tu fais clic droit et Coller;

Un fichier winsrv-copie.dll a été créé.

Clic droit et Renommer.

Tu le renommes consrv.dll

Tu fermes l'Explorateur Windows.

Tu vérifies que le fichier a bien été créé.

Tu fais redémarrer l'ordi;

Tu me dis si le redémarrage s'est fait normalement.

Si un logiciel veut supprimer ou mettre en quarantaine le fichier, tu réponds Non.

tsubasa28 · Answer

Bonsoir,


J'ai fait la manip que m'a demandé, l'ordinateur a redemarré

Lyonnais92 · Answer

Re,

alors on réessaye de modifier la valeur de clé de registre.

Tu retournes sur la valeur de clé.

Tu changes consrv en winsrv et tu cliques sur OK.

Tu fais redémarrer l'ordi (démarrer, Arrêter). Windows fermera les applications tout seul.

Tu redémarres et tu regardes si la clé est restée en winsrv.

tsubasa28 · Answer

Re

Malheureusement c'est revenu sur consrv.dll


En fait dans C: windows/system32, j'ai 2 fichiers consrv.dll

celui d'origine et celui qu'on a crée consrv(2).dll

C'est normal ?

Lyonnais92 · Answer

Re,

c'est infernal de ne pas pouvoir avoir une information fiable.

Tu supprimes consrv.dll puis

tu renommes consrv(2).dll  en consrv.dll 

Tu fais redémarrer l'ordi.

tsubasa28 · Answer

Re,


Impossible de relancer l'ordi en mode normal et en mode sans échec, j'arrive jusqu'au bureau mais 10s plus tard l'ordi redemarre

J'ai restauré l'ordi à un point que j'avais crée avant que l'on commence cette manip

Lyonnais92 · Answer

Re,

essaye de modifier la clé en mode sans échec.

tsubasa28 · Answer

Bonjour,


Dis moi Lyonnais92, est ce que tu penses que faire une restauration d'usine serait une bonne idée. Avant de venir sur le forum et de me faire aider dans un premier temps par Guillaume puis par toi, j'avais essayer de le dégager et fait tout et n'importe quoi. Cela permettrait peut etre de reprendre l'élimination du virus de zero

Sinon j'ai fait un scan avec malwerabite

Voici le rapport

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.11.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
BEN :: BEN-HP [administrateur]

16/01/2012 05:30:22
mbam-log-2012-01-16 (05-30-22).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 340451
Temps écoulé: 47 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Windows\assembly	mp\U\000000c0.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly	mp\U\800000cb.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.


Merci d'avance

tsubasa28 · Answer

Bonsoir,

je me permet de remonter le sujet dans l'espoir que l'on vienne m'aider

merci d'avance

Lyonnais92 · Answer

Bonsoir,

tu as une sauvegarde de tes fichiers personnels ?

Et les sources (ou les moyens de les retrouver) des logiciels que tu as installé après l'achat ?

Si oui, la restauration départ usine est une possibilité.

Mais la solution la plus simple est de modifier le registre (il faut trouver avec quoi).

Tu as Combofix d'installé ?

Si oui, je te ferai faire une manip avec.

tsubasa28 · Answer

Bonsoir,

Oui, j'ai combofix installé
Que veux tu que je fasse ?

Merci

Lyonnais92 · Answer

Re,

j'espère que tu as bien mis Combofix sur ton Bureau.

Fais ceci :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

 
Registry::

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
  32,5c,63,73,72,73,73,2e,65,78,65,20,4f,62,6a,65,63,74,44,69,72,65,63,74,6f,\
  72,79,3d,5c,57,69,6e,64,6f,77,73,20,53,68,61,72,65,64,53,65,63,74,69,6f,6e,\
  3d,31,30,32,34,2c,33,30,37,32,2c,35,31,32,20,57,69,6e,64,6f,77,73,3d,4f,6e,\
  20,53,75,62,53,79,73,74,65,6d,54,79,70,65,3d,57,69,6e,64,6f,77,73,20,53,65,\
  72,76,65,72,44,6c,6c,3d,62,61,73,65,73,72,76,2c,31,20,53,65,72,76,65,72,44,\
  6c,6c,3d,77,69,6e,73,72,76,3a,55,73,65,72,53,65,72,76,65,72,44,6c,6c,49,6e,\
  69,74,69,61,6c,69,7a,61,74,69,6f,6e,2c,33,20,53,65,72,76,65,72,44,6c,6c,3d,\
  77,69,6e,73,72,76,3a,43,6f,6e,53,65,72,76,65,72,44,6c,6c,49,6e,69,74,69,61,\
  6c,69,7a,61,74,69,6f,6e,2c,32,20,50,72,6f,66,69,6c,65,43,6f,6e,74,72,6f,6c,\
  3d,4f,66,66,20,4d,61,78,52,65,71,75,65,73,74,54,68,72,65,61,64,73,3d,31,36,\
  00


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Vérifie si la clé a été modifié (plus de consvr).

tsubasa28 · Answer

Re

Impossible de redemarrer l'ordi, écran bleu avec texte en anglais qui apparait après disparation du logo windows

J'ai du restaurer

Je te souhaine une bonne fin de soirée,

Lyonnais92 · Answer

Re,

on fait une dernière tentative.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :

*****************************
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
  32,5c,63,73,72,73,73,2e,65,78,65,20,4f,62,6a,65,63,74,44,69,72,65,63,74,6f,\
  72,79,3d,5c,57,69,6e,64,6f,77,73,20,53,68,61,72,65,64,53,65,63,74,69,6f,6e,\
  3d,31,30,32,34,2c,33,30,37,32,2c,35,31,32,20,57,69,6e,64,6f,77,73,3d,4f,6e,\
  20,53,75,62,53,79,73,74,65,6d,54,79,70,65,3d,57,69,6e,64,6f,77,73,20,53,65,\
  72,76,65,72,44,6c,6c,3d,62,61,73,65,73,72,76,2c,31,20,53,65,72,76,65,72,44,\
  6c,6c,3d,77,69,6e,73,72,76,3a,55,73,65,72,53,65,72,76,65,72,44,6c,6c,49,6e,\
  69,74,69,61,6c,69,7a,61,74,69,6f,6e,2c,33,20,53,65,72,76,65,72,44,6c,6c,3d,\
  77,69,6e,73,72,76,3a,43,6f,6e,53,65,72,76,65,72,44,6c,6c,49,6e,69,74,69,61,\
  6c,69,7a,61,74,69,6f,6e,2c,32,20,50,72,6f,66,69,6c,65,43,6f,6e,74,72,6f,6c,\
  3d,4f,66,66,20,4d,61,78,52,65,71,75,65,73,74,54,68,72,65,61,64,73,3d,31,36,\
  00
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

tsubasa28 · Answer

Bonjour

J'ai fait ce que tu m'as dit. Quelles modifications cela est censé apporter ?

Merci

Lyonnais92 · Answer

Bonjour,

quelle modification :

la disparition de consrv au profit de winsrv

dans la valeur Windows de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

tsubasa28 · Answer

Re

Consrv est toujours là

Lyonnais92 · Answer

Bonjour,

bon, alors, tout ça, c'est ma faute.

Ca ne peut pas marcher comme ça.

Il va falloir passer par un live CD.

Avant, tu ouvres le registre, tu vas sur HKEY_LOCAL_MACHINE\System

Tu vas voir des ControlSet (001 et 002 normalement) et CurrentControlSet

Tu me confirmes que tu vois bien ça.

===

ouvre ce lien :

https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/

Tu as un lien de téléchargement vers UltimateBootCd.

Tu le télécharges et tu le graves sur un CD réinscriptible comme indiqué (attention, gravage iso).

Tu regardes la suite du tuto car ça sera la maneuvre à faire.

Il me manque le numéro du Controlset à modifier.

tsubasa28 · Answer

Re 

Oui 

je vois bien ControlSet 001, 002 et CurentControlset

Lyonnais92 · Answer

Re,

OK,

alors, tu graves, tu changes l'ordre du boot pour démarrer sur le CD (en modifiant le Bios)

Tu démarres sur le CD et tu vas voir ce qui se passe pour ControlSet003 (le tuto dit 001 mais il faut regarder 003) sur la valeur Windows.

Normalement, tu dois voir consrv.

Tu redémarres sur le DD (comme d'habitude) et tu viens me dire avant de changer quoi que ce soit.

tsubasa28 · Answer

Re, 

Je n'arrive pas à graver l'image disque depuis mon ordinateur

Cela me met le code erreur suivant : 0x80004005

Lyonnais92 · Answer

Re,

tu peux trouver un autre ordi pour le graver ?

Le message d'erreur est un vrai fourre-tout;

tsubasa28 · Answer

Re

oui, je vais le graver sur l'ordi de ma soeur

merci

Decryptage rapport ZHPdiag

47 réponses

Votre réponse

Discussions similaires

Newsletters