[Résolu] Vista Antispyware 2012, rootkit ZAccess

pear · le 2 février 2012

[bSP] e2256a6458f4b04ca5c97ccecad8e80e : MaxSS MBR Code!

Infection Maxss que Tdsskiller n'a pas vue.

Télécharger aswMBR.exe sur le bureau

Double clic sur l'icône

Puis Scan

Le scan fini, cliquer sur "SAVE LOG" et sauvegarder le fichier sur le Bureau,

Copier/Coller le contenu dans la réponse.

Un fichier "MBR.dat" apparait sur le Bureau.

Faites clic droit -> Envoyer vers- > "Dossier compressé".

Conserver ce fichier MBR.zip sur clé Usb

Tuto Avast

Comment changer la partition active En cas d'infection Alureon-K(TDL4):

utiliser la commande aswMBR.exe -ap 1 depuis le bureau pour activer la bonne partition

Sur XP : "%userprofile%\bureau\aswMBR.exe -ap 1"

Sur Vista et Windows 7 : "%userprofile%\desktop\aswMBR.exe -ap 1"

Dans la fenêtre des Options de démarrage avancées

Sélectionner Invite de commandes et valider

exécuter successivement les commandes suivantes:

bcdedit /export C:\BCD_Backup

C:

cd boot

attrib bcd -s -h -r

bcdedit /enum all /v

L'utilisation de la commande bcdedit /enum all /v met en évidence ceci:

Citation

EMS Settings

------------

identifier {0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9}

custom:26000022 Yes

Solution:

Utiliser l'outil Bootrec.exe pour dépanner et résoudre les problèmes de démarrage dans Windows Vista/7:

Dans la fenêtre des Options de démarrage avancées

Sélectionner Invite de commandes et valider

exécuter successivement les commandes suivantes:

bcdedit /export C:\BCD_Backup

C:

cd boot

attrib bcd -s -h -r

bcdedit /deletevalue {0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9} custom:26000022

bcdedit /set {0ce4991b-e6b3-4b16-b23c-5e0d9250e5d9} bootems Yes

ren C:\boot\bcd bcd.old

bootrec /RebuildBcd

Modifié le 2 février 2012 par pear

Eri · le 2 février 2012

J'ai fait tourner le scan MBR pendant environ une heure, le ventilateur continuait graduellement à monter. J'ai donc sauvé le log en cours de scan et non pas à la fin. (Je pensais que la forte montée de l'UC était anormale, mais peut être que non et que cela était simplement à cause du scan).

Si vous le voulez je peux essayer de refaire un scan.

Ensuite, pour ce qui en est de la partie "changer la partition..." dois-je aussi le faire maintenant?

(Si oui, "aswMBR.exe -ap1" doit être lancé à partir de cmd.exe?)

[Edit:je tiens à noter une chose, à trois reprises pendant que je copiais des fichier vers une clé usb, l'écran du PC s'est éteint, ne me laissant pas d'autres choix que de redémarrer manuellement]

voici le log de MBR:

Run date: 2012-02-02 13:33:15

-----------------------------

13:33:15.942 OS Version: Windows x64 6.0.6002 Service Pack 2

13:33:15.942 Number of processors: 4 586 0x1707

13:33:15.942 ComputerName: PC-DE-PAVEL UserName: Pavel

13:33:18.391 Initialize success

13:33:19.920 AVAST engine defs: 11121800

13:34:01.244 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

13:34:01.244 Disk 0 Vendor: WDC_WD10 01.0 Size: 953869MB BusType: 8

13:34:01.276 Disk 0 MBR read successfully

13:34:01.276 Disk 0 MBR scan

13:34:01.510 Disk 0 unknown MBR code

13:34:01.510 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 937802 MB offset 63

13:34:01.759 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 16065 MB offset 1920618945

13:34:01.759 Service scanning

13:34:04.817 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32

13:34:05.020 Service vdrv9000 C:\Windows\system32\DRIVERS\vdrv9000.sys **LOCKED**

13:34:05.690 Modules scanning

13:34:05.690 Disk 0 trace - called modules:

13:34:05.722 ntoskrnl.exe CLASSPNP.SYS disk.sys iastor.sys spgl.sys hal.dll

13:34:05.722 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004d60060]

13:34:05.737 3 CLASSPNP.SYS[fffffa6000fc6c33] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8004a42050]

13:34:07.921 AVAST engine scan C:\Windows

13:34:15.706 AVAST engine scan C:\Windows\system32

13:34:29.761 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Sirefef-HO [Rtk]

13:36:01.052 File: C:\Windows\assembly\GAC_32\Desktop.ini **INFECTED** Win32:Sirefef-FQ [Drp]

13:36:04.578 File: C:\Windows\assembly\GAC_64\Desktop.ini **INFECTED** Win32:Sirefef-HO [Rtk]

13:37:09.380 File: C:\Windows\assembly\temp\U\80000032.@ **INFECTED** Win32:DNSChanger-VJ [Trj]

13:37:13.374 AVAST engine scan C:\Windows\system32\drivers

13:37:44.418 AVAST engine scan C:\Users\Pavel

14:26:13.693 Disk 0 MBR has been saved successfully to "C:\Users\Pavel\Desktop\MBR.dat"

14:26:13.709 The log file has been saved successfully to "C:\Users\Pavel\Desktop\aswMBR.txt"

Modifié le 2 février 2012 par Eri

pear · le 2 février 2012

(Si oui, "aswMBR.exe -ap1" doit être lancé à partir de cmd.exe?)

La commandes est:

Sur Vista et Windows 7 : "%userprofile%\desktop\aswMBR.exe -ap 1"

Mais oubliez cela pour l'instant et faites ce qui suit.

13:34:29.761 File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Sirefef-HO [Rtk]
13:36:01.052 File: C:\Windows\assembly\GAC_32\Desktop.ini **INFECTED** Win32:Sirefef-FQ [Drp]

13:36:04.578 File: C:\Windows\assembly\GAC_64\Desktop.ini **INFECTED** Win32:Sirefef-HO [Rtk]

Il s'agit de ZeroAccess

consrv est bien un des signes de l'infection.

Vérifier que le fichier %SYSDIR%\winsrv.dll existe.

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

winsrv.dll

Calculer le cheksum:Md5 .

Cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

Si le fichier n'existe pas, on ne peut pas supprimer consrv.dll ni modifier la clé de Registre.

1/ Exporter la clé du PC de l'utilisateur

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

2/ Modifier cette clé pour changer UNIQUEMENT le 'consrv' en 'winsrv',

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

Lancer Combofix

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Eri · le 2 février 2012

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Le lien renvoie un 404, y-a-t'il un autre endroit d'où je pourrais le prendre?

edit: apparement le programme a été retiré

Modifié le 2 février 2012 par Eri

pear · le 2 février 2012

Télécharger SEAF de C_XX

Eri · le 3 février 2012

Voici le rapport de SEAF:

1. ========================= SEAF 1.0.1.0 - C_XX

2.

3. Commencé à: 10:22:17 le 03/02/2012

4.

5. Valeur(s) recherchée(s):

6. winsrv.dll

7.

8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès

9.

10. (!) --- Calcul du Hash "MD5"

11. (!) --- Informations supplémentaires

12.

13. ====== Fichier(s) ======

14.

15.

16. "C:\Windows\SoftwareDistribution\Download\d15e0adcf011f7a00bde2023e8b74a00\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18005_none_1488ab3251d4722d\winsrv.dll" [ ARCHIVE | 451 Ko ]

17. TC: 18/08/2009,21:40:07 | TM: 11/04/2009,08:11:28 | DA: 18/08/2009,21:40:07

18.

19. Hash MD5: 36F234FD1AA7BAE559BB1C483FC76286

20.

21. CompanyName: Microsoft Corporation

22. ProductName: Microsoft® Windows® Operating System

23. InternalName: winsrv

24. OriginalFileName: winsrv.dll

26. ProductVersion: 6.0.6002.18005

27. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)

28.

29. =========================

30.

31.

32. "C:\Windows\System32\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

33. TC: 17/12/2008,01:08:28 | TM: 17/12/2008,01:08:28 | DA: 17/12/2008,01:08:28

34.

35. Hash MD5: ABB68EB9F20D35BE5EB78486A1597474

36.

37. CompanyName: Microsoft Corporation

38. ProductName: Système d'exploitation Microsoft® Windows®

39. InternalName: winsrv

40. OriginalFileName: winsrv.dll.mui

42. ProductVersion: 6.0.6000.16386

43. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

44.

45. =========================

46.

47.

48. "C:\Windows\system64\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

49. TC: 17/12/2008,01:08:22 | TM: 17/12/2008,01:08:22 | DA: 17/12/2008,01:08:22

50.

51. Hash MD5: D48E9E019D3FD58B44E1C57377D0E442

52.

53. CompanyName: Microsoft Corporation

54. ProductName: Système d'exploitation Microsoft® Windows®

55. InternalName: winsrv

56. OriginalFileName: winsrv.dll.mui

58. ProductVersion: 6.0.6000.16386

59. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

60.

61. =========================

62.

63.

64. "C:\Windows\system64\winsrv.dll" [ ARCHIVE | 451 Ko ]

65. TC: 11/01/2012,11:26:28 | TM: 25/11/2011,17:25:32 | DA: 11/01/2012,11:26:28

66.

67. Hash MD5: AA137104CDFC81818A309CDE32ABB74A

68.

69. CompanyName: Microsoft Corporation

70. ProductName: Système d'exploitation Microsoft® Windows®

71. InternalName: winsrv

72. OriginalFileName: winsrv.dll.mui

74. ProductVersion: 6.0.6000.16386

75. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

76.

77. =========================

78.

79.

80. "C:\Windows\SysWOW64\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

81. TC: 17/12/2008,01:08:28 | TM: 17/12/2008,01:08:28 | DA: 17/12/2008,01:08:28

82.

83. Hash MD5: ABB68EB9F20D35BE5EB78486A1597474

84.

85. CompanyName: Microsoft Corporation

86. ProductName: Système d'exploitation Microsoft® Windows®

87. InternalName: winsrv

88. OriginalFileName: winsrv.dll.mui

90. ProductVersion: 6.0.6000.16386

91. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

92.

93. =========================

94.

95.

96. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_3a33ec2bb2d76115\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

97. TC: 17/12/2008,01:08:22 | TM: 17/12/2008,01:08:22 | DA: 17/12/2008,01:08:22

98.

99. Hash MD5: D48E9E019D3FD58B44E1C57377D0E442

100.

101. CompanyName: Microsoft Corporation

102. ProductName: Système d'exploitation Microsoft® Windows®

103. InternalName: winsrv

104. OriginalFileName: winsrv.dll.mui

106. ProductVersion: 6.0.6000.16386

107. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

108.

109. =========================

110.

111.

112. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6001.18000_none_129d322654b2a6e1\winsrv.dll" [ ARCHIVE | 450 Ko ]

113. TC: 21/01/2008,03:49:09 | TM: 21/01/2008,03:49:09 | DA: 21/01/2008,03:49:09

114.

115. Hash MD5: A9C654098A5CA39618DA9D022A6691B8

116.

117. CompanyName: Microsoft Corporation

118. ProductName: Microsoft® Windows® Operating System

119. InternalName: winsrv

120. OriginalFileName: winsrv.dll

122. ProductVersion: 6.0.6001.18000

123. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)

124.

125. =========================

126.

127.

128. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6001.18638_none_1284d01654c3b456\winsrv.dll" [ ARCHIVE | 450 Ko ]

129. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,16:16:49 | DA: 13/07/2011,13:10:16

130.

131. Hash MD5: 2D94E4CE322F12061D3FA7DBE65E9AC5

132.

133. CompanyName: Microsoft Corporation

134. ProductName: Microsoft® Windows® Operating System

135. InternalName: winsrv

136. OriginalFileName: winsrv.dll

138. ProductVersion: 6.0.6001.18638

139. FileVersion: 6.0.6001.18638 (vistasp1_gdr.110420-0335)

140.

141. =========================

142.

143.

144. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6001.22904_none_132adf496dcc953f\winsrv.dll" [ ARCHIVE | 450 Ko ]

145. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,15:59:09 | DA: 13/07/2011,13:10:16

146.

147. Hash MD5: CCCFC223E76D14E622D8F2BB5E90B58D

148.

149. CompanyName: Microsoft Corporation

150. ProductName: Microsoft® Windows® Operating System

151. InternalName: winsrv

152. OriginalFileName: winsrv.dll

154. ProductVersion: 6.0.6001.22904

155. FileVersion: 6.0.6001.22904 (vistasp1_ldr.110420-0335)

156.

157. =========================

158.

159.

160. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18005_none_1488ab3251d4722d\winsrv.dll" [ ARCHIVE | 451 Ko ]

161. TC: 19/02/2010,13:08:20 | TM: 11/04/2009,00:11:30 | DA: 19/02/2010,13:08:20

162.

163. Hash MD5: 36F234FD1AA7BAE559BB1C483FC76286

164.

165. CompanyName: Microsoft Corporation

166. ProductName: Microsoft® Windows® Operating System

167. InternalName: winsrv

168. OriginalFileName: winsrv.dll

170. ProductVersion: 6.0.6002.18005

171. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)

172.

173. =========================

174.

175.

176. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18456_none_1453a37851fc0bd5\winsrv.dll" [ ARCHIVE | 451 Ko ]

177. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,17:03:39 | DA: 13/07/2011,13:10:16

178.

179. Hash MD5: E5E5E593D4850B0AA24CF58B552147F3

180.

181. CompanyName: Microsoft Corporation

182. ProductName: Microsoft® Windows® Operating System

183. InternalName: winsrv

184. OriginalFileName: winsrv.dll

186. ProductVersion: 6.0.6002.18456

187. FileVersion: 6.0.6002.18456 (vistasp2_gdr.110420-0335)

188.

189. =========================

190.

191.

192. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18484_none_1431332052162cfa\winsrv.dll" [ ARCHIVE | 451 Ko ]

193. TC: 11/08/2011,13:42:12 | TM: 17/06/2011,17:16:33 | DA: 11/08/2011,13:42:12

194.

195. Hash MD5: 316FCE1F71320844790E83B1C5CDEA99

196.

197. CompanyName: Microsoft Corporation

198. ProductName: Microsoft® Windows® Operating System

199. InternalName: winsrv

200. OriginalFileName: winsrv.dll

202. ProductVersion: 6.0.6002.18484

203. FileVersion: 6.0.6002.18484 (vistasp2_gdr.110617-0336)

204.

205. =========================

206.

207.

208. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.18545_none_145d750051f4d3b4\winsrv.dll" [ ARCHIVE | 451 Ko ]

209. TC: 11/01/2012,11:26:28 | TM: 25/11/2011,17:25:32 | DA: 11/01/2012,11:26:28

210.

211. Hash MD5: AA137104CDFC81818A309CDE32ABB74A

212.

213. CompanyName: Microsoft Corporation

214. ProductName: Microsoft® Windows® Operating System

215. InternalName: winsrv

216. OriginalFileName: winsrv.dll

218. ProductVersion: 6.0.6002.18545

219. FileVersion: 6.0.6002.18545 (vistasp2_gdr.111125-0238)

220.

221. =========================

222.

223.

224. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.22628_none_14ffb2816aff87a1\winsrv.dll" [ ARCHIVE | 451 Ko ]

225. TC: 13/07/2011,13:10:16 | TM: 20/04/2011,16:38:31 | DA: 13/07/2011,13:10:16

226.

227. Hash MD5: 33353C4E98C0CCF7E2A817536EB58985

228.

229. CompanyName: Microsoft Corporation

230. ProductName: Microsoft® Windows® Operating System

231. InternalName: winsrv

232. OriginalFileName: winsrv.dll

234. ProductVersion: 6.0.6002.22628

235. FileVersion: 6.0.6002.22628 (vistasp2_ldr.110420-0335)

236.

237. =========================

238.

239.

240. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.22662_none_14ce71156b255f5b\winsrv.dll" [ ARCHIVE | 451 Ko ]

241. TC: 11/08/2011,13:42:12 | TM: 17/06/2011,16:31:54 | DA: 11/08/2011,13:42:12

242.

243. Hash MD5: 1963C9D71F401DA6E01741D0DBFD82CB

244.

245. CompanyName: Microsoft Corporation

246. ProductName: Microsoft® Windows® Operating System

247. InternalName: winsrv

248. OriginalFileName: winsrv.dll

250. ProductVersion: 6.0.6002.22662

251. FileVersion: 6.0.6002.22662 (vistasp2_ldr.110617-0336)

252.

253. =========================

254.

255.

256. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.0.6002.22747_none_14e914456b10a353\winsrv.dll" [ ARCHIVE | 451 Ko ]

257. TC: 11/01/2012,11:26:28 | TM: 25/11/2011,16:23:59 | DA: 11/01/2012,11:26:28

258.

259. Hash MD5: 4748B07819F01FE47CF1FA4B30D9286F

260.

261. CompanyName: Microsoft Corporation

262. ProductName: Microsoft® Windows® Operating System

263. InternalName: winsrv

264. OriginalFileName: winsrv.dll

266. ProductVersion: 6.0.6002.22747

267. FileVersion: 6.0.6002.22747 (vistasp2_ldr.111125-0238)

268.

269. =========================

270.

271.

272. "C:\Windows\winsxs\x86_microsoft-windows-winsrv.resources_31bf3856ad364e35_6.0.6000.16386_fr-fr_de1550a7fa79efdf\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

273. TC: 17/12/2008,01:08:28 | TM: 17/12/2008,01:08:28 | DA: 17/12/2008,01:08:28

274.

275. Hash MD5: ABB68EB9F20D35BE5EB78486A1597474

276.

277. CompanyName: Microsoft Corporation

278. ProductName: Système d'exploitation Microsoft® Windows®

279. InternalName: winsrv

280. OriginalFileName: winsrv.dll.mui

282. ProductVersion: 6.0.6000.16386

283. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

284.

285. =========================

286.

287.

288. =========================

289.

290. Fin à: 10:29:33 le 03/02/2012

291. 457942 Éléments analysés

292.

293. =========================

294. E.O.F

pear · le 3 février 2012

Bien.

démarrer->Exécuter->Regedit

développer

HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Control\Session Manager->SubSystems

A droite, sous nom, vous avez:

Windows

et comme données

basesrv,1 consrv:UserServerDllInitialization,3 consrv:ConServerDllInitialization,2 sxssrv,4

Modifier cette clé pour changer UNIQUEMENT le 'consrv' en 'winsrv',

Cliquez sur Windows->Modifier

ceci apparait à gauche:

basesrv,1 consrv:UserServerDllInitialization,3 consrv:ConServerDllInitialization,2 sxssrv,4

remplacer co par wi pour avoir:

basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4

ou

Vous devez créer un fichier .reg:

Clic droit sur un espace vide du bureau->Nouveau->Document texte

Copier/coller ce qui suit en vert

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

sans ligne blanche au début.mais une à la fin

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans [bType de fichier][/b]->Tous les fichiers

Dans Nom->regis.reg.

Allez sur le bureau

Votre ficher ressemble à ceci

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Redémarrez

lancez Combofix

Modifié le 3 février 2012 par pear

Eri · le 3 février 2012

Ok mais:

Est-ce que j'utilise le combofix que j'avais installé précédemment? Ou bien le désinstaller et installer une version éventuellement mise à jour?

Est-ce qu'il vaudrait mieux que je sauvegarde tous les fichiers important avant de procéder à cette étapes ou bien elle ne devrait pas entraîner de problèmes majeur?

sans ligne blanche au début.mais une à la fin

Excusez-moi je ne pense pas bien avoir saisi cela

Modifié le 3 février 2012 par Eri

pear · le 3 février 2012

Cela signifie que la première ligne de votre fichier .reg doit être Windows Registry Editor Version 5.00 et non une ligne blanche.

Quant à Combofix, s'il a plus de 6 jours, désinstallez le et réinstallez.

Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->

Copier/coller:

"%userprofile%\Bureau\ComboFix.exe" /uninstall

En cas d'échec:

Renommer ComboFix.exe qui est sur votre bureau -> Uninstall.exe et double cliquez dessus.

Supprimez C:\qoobox si vous le trouvez

Modifié le 3 février 2012 par pear

Eri · le 3 février 2012

J'ai crée le fichier regis.reg et je l'ai fusionner. Cependant, au redémarrage après avoir sélectionner le mode sans échec avec prise en charge réseau, directement après que Windows charge les fichier système un bref BSOD apparait et le PC redémarre. Cela a trois reprises et aussi en mode normal.

(Je crois que le bsod était le même que celui-ci )

Connexion

Pas encore inscrit ?

[Résolu] Vista Antispyware 2012, rootkit ZAccess

Messages recommandés

pear

Lien vers le commentaire

Partager sur d’autres sites

Eri

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

Eri

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

Eri

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

Eri

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

Eri

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer