A voir également:
- Trojan dropper.agent.aryn
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Csrss.exe trojan - Forum Virus
- Trojan win32 - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
18 oct. 2011 à 11:57
18 oct. 2011 à 11:57
Salut,
C'est détecté dans quel fichier ?
C'est détecté dans quel fichier ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
18 oct. 2011 à 13:19
18 oct. 2011 à 13:19
Tu es infecté par ZAccess.
télécharge et grave OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
Faut booter desssus et lancer l'éditeur de registre (ça doit être menu Démarrer / Tools System )
Faut dérouler l'arborescence en cliquant sur les + pour arriver à cette clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
A droite tu dois avoir Windows, faut remplacer le consrvqui se trouve dedans plus haut par winsrv sans faute!
et redémarrer l'ordinateur.
Désolé mais y a pas plus simple comme procédure, à part tout sauvegarder et restaurer Windows.
télécharge et grave OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=
Faut booter desssus et lancer l'éditeur de registre (ça doit être menu Démarrer / Tools System )
Faut dérouler l'arborescence en cliquant sur les + pour arriver à cette clef :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
A droite tu dois avoir Windows, faut remplacer le consrvqui se trouve dedans plus haut par winsrv sans faute!
et redémarrer l'ordinateur.
Désolé mais y a pas plus simple comme procédure, à part tout sauvegarder et restaurer Windows.
Ok merci, je vais essayer selon ta procédure. Je suis en train de graver le CD.
Juste une précision, quand tu dis remplacer consrv, par winsrv: ça veut dire supprimer consrv mais où est ce que je trouve ce fameux winsrv que je dois mettre à la place? Ou alors je dois juste renommer consrv en winsrv?
Enfin la restauration système, même si apparemment elle fonctionne à l'ouverture de windows, ne corrige pas le problème du trojan..
Juste une précision, quand tu dis remplacer consrv, par winsrv: ça veut dire supprimer consrv mais où est ce que je trouve ce fameux winsrv que je dois mettre à la place? Ou alors je dois juste renommer consrv en winsrv?
Enfin la restauration système, même si apparemment elle fonctionne à l'ouverture de windows, ne corrige pas le problème du trojan..
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
18 oct. 2011 à 13:58
18 oct. 2011 à 13:58
Le Trojan.Agent3 est juste un fichier qui est créé par Zaccess.
C'est une conséquence si tu veux.
Le malware c'est consrv.dll qui est chargé par la clef que je te donne plus haut et que tu dois modifier.
Faut pas supprimer le fichier conserv.dll sans remettre la clef qui a été modifiée, sinon Windows va plus démarrer (BSOD).
La clef j'en parle là : https://forums.commentcamarche.net/forum/affich-23395875-virus-redirection-internet-sur-pages-de-pub#6
tu as le consrv en gras qu'il faut remplacer par winsrv
C'est une conséquence si tu veux.
Le malware c'est consrv.dll qui est chargé par la clef que je te donne plus haut et que tu dois modifier.
Faut pas supprimer le fichier conserv.dll sans remettre la clef qui a été modifiée, sinon Windows va plus démarrer (BSOD).
La clef j'en parle là : https://forums.commentcamarche.net/forum/affich-23395875-virus-redirection-internet-sur-pages-de-pub#6
tu as le consrv en gras qu'il faut remplacer par winsrv
Merci pour tes précisions, je vais essayer de faire le nécessaire.
J'ai réussi à booter sur le cd, mais je ne trouve pas le chemin de l'éditeur de registre pour arriver à la clef.. Excuse mon ignorance.. Il faut cliquer droit sur démarrer ou est-ce juste dans le menu démarrer?
Merci d'avance, j'effectuerai tout ça à mon retour du travail dans la soirée et te tiendrai au courant.
J'ai réussi à booter sur le cd, mais je ne trouve pas le chemin de l'éditeur de registre pour arriver à la clef.. Excuse mon ignorance.. Il faut cliquer droit sur démarrer ou est-ce juste dans le menu démarrer?
Merci d'avance, j'effectuerai tout ça à mon retour du travail dans la soirée et te tiendrai au courant.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
18 oct. 2011 à 16:37
18 oct. 2011 à 16:37
Le menu démarrer en bas à gauche oui après je sais pas trop de tête.
System tools
ou registry tool
et faut chercher registry editor.
System tools
ou registry tool
et faut chercher registry editor.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
19 oct. 2011 à 10:47
19 oct. 2011 à 10:47
Voila une procédure détaillée : https://www.malekal.com/zaccess-sur-windows-64-bits-consrv-winsrv/
Ca doit permettre de t'en sortir.
Ca doit permettre de t'en sortir.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
19 oct. 2011 à 11:37
19 oct. 2011 à 11:37
tu as bien chargé la ruche à partir de Load Hive ?
Car si tu fonces sur HKEY_LOCAL_MACHINE\SYSTEM\ c'est les clefs du CD Live que tu regardes et pas celle de ton Windows, donc normal qu'elles soient clean.
Possible que sur OTLPE, la ruche soit déjà chargée dans : HKEY_LOCAL_MACHINE\SYSTEM_ON_C\
Car si tu fonces sur HKEY_LOCAL_MACHINE\SYSTEM\ c'est les clefs du CD Live que tu regardes et pas celle de ton Windows, donc normal qu'elles soient clean.
Possible que sur OTLPE, la ruche soit déjà chargée dans : HKEY_LOCAL_MACHINE\SYSTEM_ON_C\
Salut, j'ai réussi à faire la manipulation selon ta procédure et ça a fonctionné nickel, redémarrage de windows en mode normal sans problème. Merci pour ton aide précieuse!!!
Par contre à chaque ouverture de windows j'ai une fenêtre qui s'affiche ''impossible de charger le fichier ou l'assembly 'sorttbls.nlp' ou une de ses dépendances. Le fichier spécifié est introuvable.''
J'ai relancé AVG et je m'aperçois que seul l'Agent3.AOWL dans C:\Windows\assembly\temp\U\80000032.@ reste détecté, je suppose que la fenêtre dont je parle plus haut s'affiche parce que AVG met le fichier en quarantaine? Y a-t-il des solutions pour se débarrasser de cet agent ou je dois faire avec?
Par contre à chaque ouverture de windows j'ai une fenêtre qui s'affiche ''impossible de charger le fichier ou l'assembly 'sorttbls.nlp' ou une de ses dépendances. Le fichier spécifié est introuvable.''
J'ai relancé AVG et je m'aperçois que seul l'Agent3.AOWL dans C:\Windows\assembly\temp\U\80000032.@ reste détecté, je suppose que la fenêtre dont je parle plus haut s'affiche parce que AVG met le fichier en quarantaine? Y a-t-il des solutions pour se débarrasser de cet agent ou je dois faire avec?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
19 oct. 2011 à 14:35
19 oct. 2011 à 14:35
oui mets en quarantaine.
Pour ton message au démarrage, ça semble lié au FrameWork .NET 2.0 (si c'est ça, c'est un peu vieux) qui est endommagé : https://social.msdn.microsoft.com/Forums/en-US/c32e9822-edde-4407-804b-77ef77cefaf2/sorttblsnlp?forum=Vsexpressinstall
Faut le désinstaller et réinstaller - l'install du 4.0 : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=9cfb2d51-5ff4-4491-b0e5-b386f32c0992
Pour ton message au démarrage, ça semble lié au FrameWork .NET 2.0 (si c'est ça, c'est un peu vieux) qui est endommagé : https://social.msdn.microsoft.com/Forums/en-US/c32e9822-edde-4407-804b-77ef77cefaf2/sorttblsnlp?forum=Vsexpressinstall
Faut le désinstaller et réinstaller - l'install du 4.0 : http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=9cfb2d51-5ff4-4491-b0e5-b386f32c0992
18 oct. 2011 à 13:14
C:\Windows\System32\consrv.dll
J'ai essayé trojan remover, sans succès