Supprimer rootkit : System32\consrv.dll
Résolu
rafounet87
Messages postés
148
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!
A voir également:
- Supprimer system32
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
- Supprimer compte instagram - Guide
178 réponses
Bonjour,
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
arf .....
c'est malin t'aurais du me le dire ......
tape cd windows
rstrui.exe
Restaure à une date avant combofix.
c'est malin t'aurais du me le dire ......
tape cd windows
rstrui.exe
Restaure à une date avant combofix.
pre_scan_PE restaure la clé winsrv/consrv julien
edit::
pre_scan tout court aussi normalement
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
edit::
pre_scan tout court aussi normalement
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
non ça va rien faire revenir là combofix à bien déraillé et ERUNT a pas fonctionné ....
une idée pasc ou fab ?
une idée pasc ou fab ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
donc ça à faire : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live
Bonjour, j'ai essayé de lancer le pc sur le cd gravé, au départ ça marche : windows is loading files, puis message d'erreur: Windows has encountered a problem communicating with a device connected to your computer. This error can be caused by unplugging a removable storage device such as an external usb drive while the device is in use, or by faulty hardware such as a hard drive or cdrom drive that is failing. Make shure any removable storage is properly connected and then restart your computer. If you continue to receive this error message, contact the hardware manufacturer. Status 0xc00000e9 . Info: an unexpected I/O erreur has occured.
Pourtant j'ai bien fait la modif du bios pour démarrer sur le lecteur cd rom mais y a qqch qui bloque...
Je ne pense pas avoir raté une étape ?!
Merci de votre aide !!
Pourtant j'ai bien fait la modif du bios pour démarrer sur le lecteur cd rom mais y a qqch qui bloque...
Je ne pense pas avoir raté une étape ?!
Merci de votre aide !!
Ca pue...La ruche est niquée et le moindre fichier patché va devoir être retrouvé ailleurs que sur le pc infecté!
--
--
hello les amis,
à part sentir un bon Chimay, ça pu du Max ++ !!
GH ou juju :
qu'est ce que vous attendez pour lancer l'outil ?
P.S :
pour les fichiers, on a tout ce qu'il faut (à voir) :P
<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
à part sentir un bon Chimay, ça pu du Max ++ !!
GH ou juju :
qu'est ce que vous attendez pour lancer l'outil ?
P.S :
pour les fichiers, on a tout ce qu'il faut (à voir) :P
<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
RK ou presacn va remettre la valeur de registre, mais pour les fichiers patchés, il faut passer par CF !
si CF détecte une infection sur un fichier patché, ou il l'annonce car il n'a pas trouvé de fichiers sains sur le pc, ou il le ramplace ;-)
j'avais essayé de désinfecter manuellement, mais il y a déjà pas mal de temps :P
si CF détecte une infection sur un fichier patché, ou il l'annonce car il n'a pas trouvé de fichiers sains sur le pc, ou il le ramplace ;-)
j'avais essayé de désinfecter manuellement, mais il y a déjà pas mal de temps :P
ben ouais c est max++ car consrv.dll C'EST max++
qu'est-ce que j'ai essayé de faire là ? https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll#3
en tout cas y a un truc connecté qui est pourri....
faudrait voir avec la version usb , si ca se trouve c est cdrom.sys qui est patch"....
faudrait voir avec la version usb , si ca se trouve c est cdrom.sys qui est patch"....
Bonjour,
me revoilà avec mon petit rootkit,
Suis-je censé faire ce qui est indiqué plus haut http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
et donc télécharger malwarebytes et roguekiller ou ça ne marchera pas ?
me revoilà avec mon petit rootkit,
Suis-je censé faire ce qui est indiqué plus haut http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
et donc télécharger malwarebytes et roguekiller ou ça ne marchera pas ?
bonjour,
on va essayer de le enttoyer, mais ce n'est pas gagné d'avance :
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
on va essayer de le enttoyer, mais ce n'est pas gagné d'avance :
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
C'est fait, voila le rapport: RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Recherche -- Date : 08/09/2012 16:29:26
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 8 ¤¤¤
[TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Recherche -- Date : 08/09/2012 16:29:26
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 8 ¤¤¤
[TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
RK l'a choppé :
2 actions à faire avec Roguekiller, et 2 rapports à poster :
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] sys32\consrv.dll present!
2 actions à faire avec Roguekiller, et 2 rapports à poster :
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
ok,
poste le rapport de Roguekiller en suppression, puis lance roguekiller
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
poste le rapport de Roguekiller en suppression, puis lance roguekiller
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
Il a voulu redémarrer donc j'ai mis non et voici le rapport suppression: RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Suppression -- Date : 08/09/2012 16:54:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Suppression -- Date : 08/09/2012 16:54:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
Avec host raz il a voulu également redémarrer j'ai dit non voici le rapport : RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : HOSTS RAZ -- Date : 08/09/2012 16:56:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ Nouveau fichier HOSTS: ¤¤¤
Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : HOSTS RAZ -- Date : 08/09/2012 16:56:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ Nouveau fichier HOSTS: ¤¤¤
Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt
redémarre le pc pour réintialiser le fichier Host
relance roguekiller,
[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
relance roguekiller,
[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
Rapport DNS :RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : DNS RAZ -- Date : 08/09/2012 17:14:32
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : DNS RAZ -- Date : 08/09/2012 17:14:32
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
J'ai exécuté combofix, mais il m'a mis plusieurs messages d'erreur, du type :
unable to create file: C:\windows\erdnt\Hiv-backup\ERDNT.INF Registry backup will continue, but no restore information for the ERDNT program will be saved. This means that last restoration of the registry can only be done manually, by using another OS to copy back the files.
puis: Error saving file C:\windows\erdnt\Hiv-backup\BCD Continue with the next file? (yes)
puis plusieurs autres du même genre,
puis à la fin, je me retrouve avec l'ecran msdos suivant : c.bat n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commandes. C:\monprenom>_