Zeroaccess sur Windows 64 bits : consrv => winsrv

Une page qui explique comment se débarrasser de Zaccess sur Windows 64 bits.
Pour rappel Zaccess sur cette architecture ne fonctionne pas comme sur les autres – se reporter à la page Rootkits et Windows 64 bits.

Ce dernier modifie la valeur Windows de la clef HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems qui a pour but de lancer la dll malicieuse consrv.dll à chaque démarrage.
Il est impossible de modifier la clef du registre car le malware la restaure automatiquement.
Supprimer consrv.dll, soit de manière volontaire, soit par l’antivirus (exemple avec Hitman Pro), sans remettre la clef d’origine entraine un BSOD STOP c000021a {Fatal System Error} .

BSOD Zaccess suppression consrv.dll

Il faut donc restaurer la DLL depuis un CD Live – OS alternatif où le malware n’est pas actif.

Vous pouvez le faire depuis OTLPE : http://forum.malekal.com/otlpe-live-t23453.html
ou Ultimate Boot CD :  http://www.malekal.com/download/UBCD4WinBuilder.iso

Ces images ISO sont à graver au format image ISO (exemple avec IMGBurn), vous devez ensuite « booter » dessus afin de vous retrouver sur un OS alternatif, celui donc du CD.

Le billet ci-dessous explique comment modifier la clef avec Ultimate Boot CD – avec OTLPE, c’est pareil car l’éditeur du registre est le même (c’est celui de Windows en fait), juste le menu pour y accéder est différent.
Il faut aller dans System Tool et Registry Editor.

Depuis Ultimate Boot CD c’est dans Registry Tools et Registry Browser.

Les clefs du registre sont celles de l’OS du CD Live et non celui de votre Windows.
Il faut charger la ruche du registre de votre Windows afin d’avoir accéder au clef (Pour comprendre le principe, se reporter à la page : http://forum.malekal.com/les-ruches-registre-windows-t36726.html ).
Pour cela, positionnez vous sur HKEY_LOCAL_MACHINE

Cliquez sur le menu File et Load Hive

En bas positionnez Files of Type sur All files, puis naviguez dans vos dossier pour aller dans C:\Windows\System32\config
Vous devez avoir une liste de fichiers comme ci-dessous, double-cliquez sur SYSTEM (celui sans extension à la fin).
Un nom vous sera donné, ce sera le nom du dossier contenant la ruche de votre Windows, donnez par exemple le nom SYSTEM AVEC VIRUS.

Déroulez l’arborescence de SYSTEM AVEC VIRUS avec les + pour avoir Control001 puis Session Manager et enfin SubSystems comme ci-dessous.


A droite, vous devez avoir Windows comme valeur, double-cliquez dessus.
La value date est très longue, chercher ServerDll=consrv:ConServerDllInitialization
Remplacer le premier consrv par winsrv pour avoir ServerDll=winsrv:ConServerDllInitialization

  • Validez toutes les fenêtres.
  • Éventuellement supprimez C:\Windows\system32\consrv.dll toujours depuis le CD Live
  • Redémarrez l’ordinateur.
  • Faites un scan avec votre antivirus, vérifiez que vous n’avez plus de redirections lors de recherches Google.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 112 times, 1 visits today)

5 thoughts on “Zeroaccess sur Windows 64 bits : consrv => winsrv

  1. Bonsoir ..
    Je sais pas si j’ai eu du bol, mais c’est précisément cette variante que j’ai eu….

    Nod à dégagé la dll dès sa création .. Ensuite, ya juste eu un peu de ménage a faire… 🙂

  2. Bonjour,

    j’essaie de trouver un moyen pour nettoyer Zaccess sur mon pc portable (win7-64), mais impossible de booter avec Ultimate Boot CD, en fin de démarrage je finis systématiquement sur un écran bleu. Une idée de ce que je peux faire à part formater ? Merci d’avance !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *