Supprimer rootkit : System32\consrv.dll
Résolu
rafounet87
Messages postés
154
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!
A voir également:
- Supprimer system32
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
- Supprimer application windows 10 - Guide
178 réponses
Résumé de la discussion
Le problème concerne la détection d’un rootkit potentiel, consrv.dll, dans C:\Windows\System32 par l’antivirus sur Windows 7, et la question porte sur une méthode sûre de nettoyage.
Une solution proposée est l’utilisation de ComboFix avec des étapes précises: désactiver temporairement la protection, lancer l’outil en mode administrateur, permettre les mises à jour et l’analyse, puis consulter le rapport ComboFix.txt et réactiver la protection.
Des retours d’expérience signalent néanmoins des erreurs lors de l’exécution (impossible de créer des fichiers, erreurs de sauvegarde BCD, message « c.bat n’est pas reconnu ») et des symptômes réseau indiquant une perte de connectivité locale.
Plusieurs éléments évoquent l’usage d’outils complémentaires (ERDNT, diagnostics réseau) et la collecte de rapports (ConfigReseau.txt) pour poursuivre le nettoyage, sans consensus sur une résolution immédiate.
ok on va la faire autrement :
Télécharge DelFix (de Xplode) sur ton bureau.
Lance le, choisis suppression
Patiente pendant le scan jusqu'à l'ouverture du rapport.
Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\DelFix.txt
tu peux le désinstaller.
=====
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
=====================================================
Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Combofix
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Télécharge DelFix (de Xplode) sur ton bureau.
Lance le, choisis suppression
Patiente pendant le scan jusqu'à l'ouverture du rapport.
Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\DelFix.txt
tu peux le désinstaller.
=====
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
=====================================================
Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Combofix
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
# DelFix v8.9 - Rapport créé le 08/09/2012 à 21:38:59
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Dupuis Jean Luc - DUPUIS (Administrateur)
# Exécuté depuis : C:\Users\Dupuis Jean Luc\Downloads\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RK_Quarantine
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.8.8.0_08.09.2012_17.24.20_log.txt
Supprimé : C:\TDSSKiller.2.8.8.0_08.09.2012_17.26.50_log.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\Pre_Scan_08_09_2012_18_56_05.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\Pre_script.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[1].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[2].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[3].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[4].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[5].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[6].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[7].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[8].txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1834 octets] - [08/09/2012 21:38:59]
########## EOF - C:\DelFix[S1].txt - [1958 octets] ##########
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Dupuis Jean Luc - DUPUIS (Administrateur)
# Exécuté depuis : C:\Users\Dupuis Jean Luc\Downloads\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RK_Quarantine
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.8.8.0_08.09.2012_17.24.20_log.txt
Supprimé : C:\TDSSKiller.2.8.8.0_08.09.2012_17.26.50_log.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\Pre_Scan_08_09_2012_18_56_05.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\Pre_script.txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[1].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[2].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[3].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[4].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[5].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[6].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[7].txt
Supprimé : C:\Users\Dupuis Jean Luc\Desktop\RKreport[8].txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1834 octets] - [08/09/2012 21:38:59]
########## EOF - C:\DelFix[S1].txt - [1958 octets] ##########
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Combofix vient de finir, mais il a bloqué l'accès de mon pc à internet, je ne puis donc poster le compte-rendu...!! comment puis-je récupérer ma connexion?
En cliquant droit sur ma connexion je n'ai pas d'option "réparer", j'ai uniquement "diagnostic" qui me dit pas d'adresse IP valide, et me propose de restaurer.
tu l'as ouvert avec le clic droit "executer en temps qu'admin" ?
ipconfig /all
ensuite vois si sur ta connection tu as une adresse qui ressemble à 169.254.x.x
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
ipconfig /all
ensuite vois si sur ta connection tu as une adresse qui ressemble à 169.254.x.x
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
okrelance pre_scan clique sur regedit , confirme moi que le registre s'ouvre (normalement devrait pas y avoir de soucis)
J'ai relancé prescan enregistré sous le nom de winlogon, ça scanne tout seul j'ai pas eu la possibilité de cliquer sur un quelconque regedit !
