Aide
Citation
Seulement sur système 32 bits:Remove "Rootkit.Win32.ZAccess.c" automatically par DRWeb
Remove "Rootkit.Win32.ZAccess
Remove "Rootkit.Win32.ZAccess
Cela n'est donc pas pour vous mais le reste oui.
- (4 Pages)
-
- « Première
- ←
- 2
- 3
- 4
[Résolu] Vista Antispyware 2012, rootkit ZAccess
J'ai éliminé cela en partie, mais restent de gros problèmes
Noter :
#32
Eri 
- Junior Member
-
- Groupe : Membres
- Messages : 18
- Inscrit(e) : 31-janvier 12
Posté 07 février 2012 - 10:48
Excusez-moi de me répéter, mais ne faudrait il pas restaurer avant tout la clé "Windows" avec une valeur de ce type:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"
Car j'ai cru comprendre que le fait de fusionner le fichier .reg précédent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"
n'as pas modifié la valeur de la clé mais l'a remplacé par la nouvelle valeur. Mais ne fallait-il pas seulement modifier la partie "consrv" en winsrv"?
(Excusez-moi si je me trompe, mais j'aurais simplement voulu une clarification)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16"
Car j'ai cru comprendre que le fait de fusionner le fichier .reg précédent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]
"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"
n'as pas modifié la valeur de la clé mais l'a remplacé par la nouvelle valeur. Mais ne fallait-il pas seulement modifier la partie "consrv" en winsrv"?
(Excusez-moi si je me trompe, mais j'aurais simplement voulu une clarification)
#34
Eri
- Junior Member
-
- Groupe : Membres
- Messages : 18
- Inscrit(e) : 31-janvier 12
Posté 11 février 2012 - 01:51
Le problème peut être considéré comme résolu, je n'ai pas utilisé DrWeb mais simplement fait une restauration à une date antérieur. Cela m'a été conseillé sur un autre forum. C'est le fait d'avoir changé la clé de registre et écrasé l'ancienne sans avoir au préalable noté sa valeur qui rendait le boot impossible.
Après la restauration, le système redémarrait à nouveau et pas de trace de zeroacess dans le registre (j'avais effacé consrv.dll depuis un cd live). Quelques scan d'antivirus et les résidus sont partis aussi.
Quand à l'infection Maxss, après avoir relu les rapport RK, j'ai vu qu'en fait elle touchait une clé USB et non le système. Un simple formatage a suffit.
Pour ceux qui lirait ce sujet à la recherche d'une solution, je leur conseillerai simplement de suivre le tutoriel de Malekaldepuis le début, sans changer la clé de registre à vif sous le système d'exploitation. En rappelant que cela concerne les version de Windows 64 bits!
Quoiqu'il en soit, merci pear pour l'aide apportée.
Après la restauration, le système redémarrait à nouveau et pas de trace de zeroacess dans le registre (j'avais effacé consrv.dll depuis un cd live). Quelques scan d'antivirus et les résidus sont partis aussi.
Quand à l'infection Maxss, après avoir relu les rapport RK, j'ai vu qu'en fait elle touchait une clé USB et non le système. Un simple formatage a suffit.
Pour ceux qui lirait ce sujet à la recherche d'une solution, je leur conseillerai simplement de suivre le tutoriel de Malekaldepuis le début, sans changer la clé de registre à vif sous le système d'exploitation. En rappelant que cela concerne les version de Windows 64 bits!
Quoiqu'il en soit, merci pear pour l'aide apportée.
#35
Dylav
- Modérateur
-
- Groupe : Modérateur [Dylav]
- Messages : 7409
- Inscrit(e) : 16-septembre 05
Posté 11 février 2012 - 02:48
Le problème semble avoir trouvé sa solution.
Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].
Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur
) Pour cela, 
votre premier message 
Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].
Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur
) Pour cela, votre premier message
- (4 Pages)
-
- « Première
- ←
- 2
- 3
- 4
