Trojan dropper.agent.aryn
rils
-
zephir -
zephir -
Bonjour,
AVG version 9.0.917 détecte un trojan 'dropper.agent.aryn' dont je n'arive pas à me débarrasser.
Voilà le topo:
A chaque démarrage de mon PC, windows 7 m'annonce qu'il n'a pas démarré normalement et me propose de lancer l'outil de redémarrage système qui m'annonce qu'il ne peut réparer automatiquement l'ordinateur. J'opte ensuite pour la restauration système mais elle ne fonctionne pas, quel que soit le point de restauration choisi, s'ouvre une fenêtre 'une erreur indéterminée s'est produite durant la restauration (0x800ffff)'.
C'est seulement au bout de multiples redémarrages que windows se lance normalement (malgré des ralentissements inhabituels), m'informant pourtant à l'ouverture que la restauration système s'est correctement effectuée.
Je profite donc de l'accès à mon PC pour vos écrire.
Auriez-vous des solutions pour moi svp?
En vous remerciant à l'avance,
Rils
AVG version 9.0.917 détecte un trojan 'dropper.agent.aryn' dont je n'arive pas à me débarrasser.
Voilà le topo:
A chaque démarrage de mon PC, windows 7 m'annonce qu'il n'a pas démarré normalement et me propose de lancer l'outil de redémarrage système qui m'annonce qu'il ne peut réparer automatiquement l'ordinateur. J'opte ensuite pour la restauration système mais elle ne fonctionne pas, quel que soit le point de restauration choisi, s'ouvre une fenêtre 'une erreur indéterminée s'est produite durant la restauration (0x800ffff)'.
C'est seulement au bout de multiples redémarrages que windows se lance normalement (malgré des ralentissements inhabituels), m'informant pourtant à l'ouverture que la restauration système s'est correctement effectuée.
Je profite donc de l'accès à mon PC pour vos écrire.
Auriez-vous des solutions pour moi svp?
En vous remerciant à l'avance,
Rils
A voir également:
- Trojan dropper.agent.aryn
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan ✓ - Forum Virus
- Trojan agent ✓ - Forum Virus
- [Virus] Trojan ou virus dans csrss.exe et spo - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
4 réponses
Tu es infecté par ZAccess.
télécharge et grave OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
Faut booter desssus et lancer l'éditeur de registre (ça doit être menu Démarrer / Tools System )
Faut dérouler l'arborescence en cliquant sur les + pour arriver à cette clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
A droite tu dois avoir Windows, faut remplacer le consrvqui se trouve dedans plus haut par winsrv sans faute!
et redémarrer l'ordinateur.
Désolé mais y a pas plus simple comme procédure, à part tout sauvegarder et restaurer Windows.
télécharge et grave OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
Faut booter desssus et lancer l'éditeur de registre (ça doit être menu Démarrer / Tools System )
Faut dérouler l'arborescence en cliquant sur les + pour arriver à cette clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
A droite tu dois avoir Windows, faut remplacer le consrvqui se trouve dedans plus haut par winsrv sans faute!
et redémarrer l'ordinateur.
Désolé mais y a pas plus simple comme procédure, à part tout sauvegarder et restaurer Windows.
Ok merci, je vais essayer selon ta procédure. Je suis en train de graver le CD.
Juste une précision, quand tu dis remplacer consrv, par winsrv: ça veut dire supprimer consrv mais où est ce que je trouve ce fameux winsrv que je dois mettre à la place? Ou alors je dois juste renommer consrv en winsrv?
Enfin la restauration système, même si apparemment elle fonctionne à l'ouverture de windows, ne corrige pas le problème du trojan..
Juste une précision, quand tu dis remplacer consrv, par winsrv: ça veut dire supprimer consrv mais où est ce que je trouve ce fameux winsrv que je dois mettre à la place? Ou alors je dois juste renommer consrv en winsrv?
Enfin la restauration système, même si apparemment elle fonctionne à l'ouverture de windows, ne corrige pas le problème du trojan..
Le Trojan.Agent3 est juste un fichier qui est créé par Zaccess.
C'est une conséquence si tu veux.
Le malware c'est consrv.dll qui est chargé par la clef que je te donne plus haut et que tu dois modifier.
Faut pas supprimer le fichier conserv.dll sans remettre la clef qui a été modifiée, sinon Windows va plus démarrer (BSOD).
La clef j'en parle là : https://forums.commentcamarche.net/forum/affich-23395875-virus-redirection-internet-sur-pages-de-pub#6
tu as le consrv en gras qu'il faut remplacer par winsrv
C'est une conséquence si tu veux.
Le malware c'est consrv.dll qui est chargé par la clef que je te donne plus haut et que tu dois modifier.
Faut pas supprimer le fichier conserv.dll sans remettre la clef qui a été modifiée, sinon Windows va plus démarrer (BSOD).
La clef j'en parle là : https://forums.commentcamarche.net/forum/affich-23395875-virus-redirection-internet-sur-pages-de-pub#6
tu as le consrv en gras qu'il faut remplacer par winsrv
Merci pour tes précisions, je vais essayer de faire le nécessaire.
J'ai réussi à booter sur le cd, mais je ne trouve pas le chemin de l'éditeur de registre pour arriver à la clef.. Excuse mon ignorance.. Il faut cliquer droit sur démarrer ou est-ce juste dans le menu démarrer?
Merci d'avance, j'effectuerai tout ça à mon retour du travail dans la soirée et te tiendrai au courant.
J'ai réussi à booter sur le cd, mais je ne trouve pas le chemin de l'éditeur de registre pour arriver à la clef.. Excuse mon ignorance.. Il faut cliquer droit sur démarrer ou est-ce juste dans le menu démarrer?
Merci d'avance, j'effectuerai tout ça à mon retour du travail dans la soirée et te tiendrai au courant.
Voila une procédure détaillée : https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/
Ca doit permettre de t'en sortir.
Ca doit permettre de t'en sortir.
Salut, j'ai réussi à faire la manipulation selon ta procédure et ça a fonctionné nickel, redémarrage de windows en mode normal sans problème. Merci pour ton aide précieuse!!!
Par contre à chaque ouverture de windows j'ai une fenêtre qui s'affiche ''impossible de charger le fichier ou l'assembly 'sorttbls.nlp' ou une de ses dépendances. Le fichier spécifié est introuvable.''
J'ai relancé AVG et je m'aperçois que seul l'Agent3.AOWL dans C:\Windows\assembly\temp\U\80000032.@ reste détecté, je suppose que la fenêtre dont je parle plus haut s'affiche parce que AVG met le fichier en quarantaine? Y a-t-il des solutions pour se débarrasser de cet agent ou je dois faire avec?
Par contre à chaque ouverture de windows j'ai une fenêtre qui s'affiche ''impossible de charger le fichier ou l'assembly 'sorttbls.nlp' ou une de ses dépendances. Le fichier spécifié est introuvable.''
J'ai relancé AVG et je m'aperçois que seul l'Agent3.AOWL dans C:\Windows\assembly\temp\U\80000032.@ reste détecté, je suppose que la fenêtre dont je parle plus haut s'affiche parce que AVG met le fichier en quarantaine? Y a-t-il des solutions pour se débarrasser de cet agent ou je dois faire avec?
oui mets en quarantaine.
Pour ton message au démarrage, ça semble lié au FrameWork .NET 2.0 (si c'est ça, c'est un peu vieux) qui est endommagé : https://social.msdn.microsoft.com/Forums/en-US/c32e9822-edde-4407-804b-77ef77cefaf2/sorttblsnlp?forum=Vsexpressinstall
Faut le désinstaller et réinstaller - l'install du 4.0 : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=9cfb2d51-5ff4-4491-b0e5-b386f32c0992
Pour ton message au démarrage, ça semble lié au FrameWork .NET 2.0 (si c'est ça, c'est un peu vieux) qui est endommagé : https://social.msdn.microsoft.com/Forums/en-US/c32e9822-edde-4407-804b-77ef77cefaf2/sorttblsnlp?forum=Vsexpressinstall
Faut le désinstaller et réinstaller - l'install du 4.0 : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=9cfb2d51-5ff4-4491-b0e5-b386f32c0992
C:\Windows\System32\consrv.dll
J'ai essayé trojan remover, sans succès