Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Vista Antispyware 2012, rootkit ZAccess

Eri

Par Eri
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)

Jamais fait, mais cela parait possible sous certaines conditions:

 

Comment transformer n'importe quelle clé USB en CD-ROM de poche | CommentCaMarche

 

Si besoin tapez sous Google: copier un iso sur cle usb.

Recherchez un sujet aussi récent que possible.

Lien vers le commentaire
Partager sur d’autres sites
Eri Junior Member

Eri

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai booté sur le UBCD4Winbuild, j'aurais une question concernant le point (dans le tuto de Malekal) où on me demande de changer

 

"ServerDll=consrv:ConServerDllInitialization"

en

"ServerDll=winsrv:ConServerDllInitialization"

 

Cependant après avoir affiché le fichier Windows la valeur chez moi est la suivante:

 

basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4

 

Il me manque cette partie: "ServerDll=" (c.f. illustration)et de plus, chez moi le "consrv" censé se trouver après "ServerDll=" est déjà "winsrv".

 

Est-ce que cela est du au fait qu'on ait précédemment fait fusionner le fichier regis.reg avec dedans :

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4" ?

 

(Et éventuellenement le "ServerDll=" a été supprimé?)

 

Le cas échéant, faut il que je réécrive le "ServerDll=" dans le fichier et laisse le reste intouché?

Modifié par Eri
Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
Le cas échéant, faut il que je réécrive le "ServerDll=" dans le fichier et laisse le reste intouché?

 

Oui ,je crois car le pc a planté avec basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4

comme je vous l'avais demandé.

 

120206112104787111.jpg

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites
Eri Junior Member

Eri

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok merci, donc je rajoute le "ServerDll=" dans le "HKEY_LOCAL_MACHINE\SYSTEME AVEC VIRUS" (selon le tuto), mais est-ce que je le rajoute aussi dans le fichier original? C'est-à-dire dans HKEY_LOCAL_MACHINE\SYSTEM, puisqu'il me semble que c'est ici que nous avions modifié.

 

Le PC, au boot, va lire lequel des deux registres?

Modifié par Eri
Lien vers le commentaire
Partager sur d’autres sites
Eri Junior Member

Eri

Posté(e)
  • Auteur
Posté(e)

J'ai rajouté "ServerDll=" de sorte à ce que la valeur dans "Windows" est:

"basesrv,1 winsrv:UserServerDllInitialization,3 ServerDll=winsrv:Con..." puis j'ai cliqué sur "ok" et redémarrer l'ordinateur. Cependant, rien ne change, démarrage en mode sans échec et puis --> Chargement des fichiers systèmes --> puis le PC redémarre. De plus, j'ai supprimé le fichier consrv.dll dans C:\Windows\System32

 

Je ne sais pas trop d'où provient le problème, mais je tiens a signaler quelques différences entre le tuto de Malekal et ma procédure.

 

Le screenshot de Malekal en ce qui concerne la valeur de windows est différente de la mienne.

Je n'ai que "basesrv,1 winsrv:UserServerDllInitialization,3 ServerDll=winsrv:Con..." dedans alors que dans le tuto, la valeur est censée être longue et débutant par %Systemroot%\system32....

De plus, le type de fichier chez moi est REG_SZ alors quand dans le tuto c'est REG_EXPAND_SZ.

 

Voici le fichier tel qu'il apparaît chez moi:

ici

Lien vers le commentaire
Partager sur d’autres sites
pear Devil Member !

pear

Posté(e)
Posté(e)

Seulement sur système 32 bits:Remove "Rootkit.Win32.ZAccess.c" automatically par DRWeb

Remove "Rootkit.Win32.ZAccess

Télécharger Dr.Web CureIt! et l'enregistrer sur le bureau.

Télécharger Space Security Pro (32-bit)

ou Space Security Pro (64 bits), l'enregistrer dans bureau.

Redémarrez l'ordinateur en mode sans échec (appuyez sur F8 avant que le logo Microsoft apparaît).

DoubleClick "cureit.exe" sur le bureau, suivez les instructions à l'écran pour scanner le disque dur.

(Attendez patiemment, cela peut prendre 20-60 minutes pour effectuer un balayage express.)

Une fois la numérisation effectuée, sélectionnez tous les virus trouvés et choisissez «guérir».

(A défaut, choisissez "Quarantaine" ou "Supprimer".)

Lorsque tous les virus trouvés sont traités, redémarrez en mode normal.

Désinstaller votre anti-virus qui ne peut pas tuer le virus, puis redémarrer à nouveau.

Sur le bureau , double cliquez Sécurité Pro pour l'exécuter.

 

Pendant l'installation, choisir d'obtenir une clé de démonstration.

Dès la mise à jour, le scanner sera lancé à nouveau, quittez le scanner à ce point.

Terminez l'installation en redémarrant l'ordinateur.

Patientez le temps nécessaire(peut-être plusieurs heures), effectuez une analyse complète de Dr.Web scanner.

 

Note:

 

Si Windows est incapable de démarrer en raison d'une infection virale, essayer LiveCD Dr.Web ou LiveUSB au lieu de Dr.Web CureIt!

Gravez un live cd comme expliqué ici:

Tutoriel Dr Web Live cd

 

Relancez Combofix

Lien vers le commentaire
Partager sur d’autres sites
Eri Junior Member

Eri

Posté(e)
  • Auteur
Posté(e) (modifié)

Seulement sur système 32 bits:Remove "Rootkit.Win32.ZAccess.c" automatically par DRWeb

 

Je tourne sur un système 64 bits

 

Faut-il quand même que je fasse la procédure avec le Live Cd Dr.Web?

 

EDIT: Je suis tombé sur ceci, qui dit que la valeur par défaut de "Windows" est:

 

%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows

SharedSection=1024,3072,512 Windows=On SubSystemType=Windows

ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3

ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off

MaxRequestThreads=16

 

Peut-être que nous l'avions tout simplement écrasé lorsque j'ai fait fusionner le fichier .reg suivant:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

 

Peut être que l'incapacité du système à démarrer est due à cela?

Modifié par Eri
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...