Supprimer rootkit : System32\consrv.dll

Résolu
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!


A voir également:

178 réponses

Précédent
Réponse 101 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows 7 Home Edition (6.1.7601) Service Pack 1
[32_bits] - AMD64 Family 16 Model 6 Stepping 2, AuthenticAMD
.
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !
[MpsSvc] RUNNING (state:4)
Windows Firewall -> Enabled
Windows Defender -> Enabled
User Account Control (UAC) -> Enabled
.
Internet Explorer 8.0.7601.17514
Mozilla Firefox 11.0 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:458 Go - Free:162 Go )
D:\ [Fixed-NTFS] .. ( Total:458 Go - Free:458 Go )
E:\ [CD_Rom]
G:\ [Removable]
H:\ [Removable]
I:\ [Removable]
.
Scan : 14:43.02
Path : C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe
User : Dupuis Jean Luc ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
Locked System (4)
______ ????????? (280)
______ ????????? (432)
______ ????????? (484)
______ ????????? (520)
______ ????????? (544)
______ ????????? (560)
______ ????????? (568)
______ ????????? (700)
______ ????????? (732)
______ ????????? (800)
______ ????????? (840)
______ ????????? (928)
______ ????????? (980)
______ ????????? (112)
Locked audiodg.exe (424)
______ ????????? (824)
______ ????????? (1092)
______ ????????? (1176)
______ ????????? (1252)
______ ????????? (1288)
______ C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (1352)
______ ????????? (1456)
______ C:\Windows\SysWOW64\svchost.exe (1476)
______ ????????? (1512)
______ ????????? (1776)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (1928)
______ C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe (2032)
______ C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe (1116)
______ C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe (1444)
______ C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (1676)
______ C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (1696)
______ ????????? (1832)
______ ????????? (1324)
______ ????????? (1648)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe (2396)
______ ????????? (2104)
______ C:\Program Files\Acer\Acer Updater\UpdaterService.exe (2188)
______ ????????? (2272)
______ ????????? (372)
______ ????????? (3004)
______ ????????? (3028)
______ ????????? (3172)
______ ????????? (6868)
______ ????????? (6904)
______ ????????? (7024)
______ C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe (6788)
Locked svchost.exe (7160)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:14680064000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:14681112576 | Length:104857600)
\Device\Harddisk0\Partition3 (Start_Offset:14785970176 | Length:492709085184)
\Device\Harddisk0\Partition4 (Start_Offset:507495055360 | Length:492708782080)
.
----------------------\\ Scheduled Tasks
.
C:\Windows\Tasks\Adobe Flash Player Updater.job
C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cd64c857dfa5e0.job
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000Core1cd6686fa0d5910.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000UA.job
C:\Windows\Tasks\SA.DAT
C:\Windows\Tasks\SCHEDLGU.TXT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 14:43.40
.
C:\Rooter$\Rooter_2.txt - (09/09/2012 | 14:43.40)
0
Réponse 102 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Cela veut-il dire qqch pour vous?!
0
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !

Bin qu'il y a quelque chose qui merde encore...On n'a déjà passé combofix?
0
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
http://assiste.com.free.fr/p/services_windows/centre_de_securite.html
0
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Oui justement c'est après combofix que j'ai perdu ma connexion.
0
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
https://forum.malekal.com/viewtopic.php?t=36444&start=
0
Réponse 103 / 178
Utilisateur anonyme
 
est ce que tu as une icône de ta connexion dans la barre de lancement rapide, en bas à droite de ton ecran ?

si tu glisses ta souris dessus, qu'affiche t on ?


0
Réponse 104 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Oui ça affiche réseau non identifié pas d'accès réseau.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 105 / 178
Utilisateur anonyme
 
ok,

si le pc est équipé pour une connexion sans file, essaie de configurer une connextion wifi pour voir si ça le fait pareil !




<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
0
Réponse 106 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai pas de clé wifi sur mon pc.
0
Réponse 107 / 178
Utilisateur anonyme
 
ok,

vérifie bien que le câble soit bien enfoncé dans la prise rj45, derrière le pc et derrière la box !


0
Réponse 108 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Oui, les câbles sont bien enfoncés !
0
Réponse 109 / 178
Utilisateur anonyme
 
essaie ceci :

https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll?page=6#187

autrement, on envisage de restaurer ton pc juste avant le passage de combofix et recommencer !



0
Réponse 110 / 178
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
Je pense qu'il faut d'abord réparer le centre de sécurité, tu sais!
T'auras moins de problèmes derrière ;-)
0
Utilisateur anonyme
 
je sais,

il y a une autre solution :

supprimer la connexion existante, puis en créer une nouvelle !
0
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
Pas impossible, mais essaye d'abord le fichier.reg approprié pour réparer [wscsvc] parce que si tu dois créer une nouvelle connexion, il y a des chances que ça merde!
:)
0
Réponse 111 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Désolé je fouine là-dedans mais je ne saisis pas trop ce que je dois faire !
0
Réponse 112 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Je double clique sur wscsvc.reg et legacy_wscsvc.reg mais dans les 2 cas j'ai erreur d'accès au registre.
0
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
Essaye en tant qu'admin
exécuter en tant qu'administrateur
;)
0
Réponse 113 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
On me propose pas d'exécuter en tant qu'admin, y a uniquement fusionner.
0
Réponse 114 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai ajouté afd.reg,
mais erreur pour: legacyafd.reg, wuauserv.reg.

Dois-je essayer les autres aussi ?
0
chimay8 Messages postés 7720 Date d'inscription   Statut Contributeur sécurité Dernière intervention   60
 
uniquement wscscv.reg de seven
0
Réponse 115 / 178
Utilisateur anonyme
 
une autre idée, à voir si ça fonctionne :


regarde dan dans le répertoire Qoobox,

tu dois trouver un fichier avec le nom tcpip.txt

change son nom en tcpip.reg

fais un clique droit dessus, puis fusionner.

redémarre ton pc et essaie de voir si la connexion revient !



0
Réponse 116 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai trouvé tcpip.reg, mais pas txt, je fusionne celui-ci ?
0
Réponse 117 / 178
Utilisateur anonyme
 
il faut que tu sois l'administrateur, fusionne le et on verra bien,

si le problème vient du passage de Combofix, on y verra le résultat vite faire :D


0
Réponse 118 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
C'est bon je l'ai fusionné, je redémarre.
0
Réponse 119 / 178
Utilisateur anonyme
 
ok,

:D


0
Réponse 120 / 178
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Et bien c'est toujours pareil.....
0
Utilisateur anonyme
 
Salut
Aurais-tu un dossier nommé ERDNT dans le répertoire Windows ?
0
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour! Oui en effet!
0
Utilisateur anonyme
 
Ce dossier a été créé par ERUNT juste avant le passage de ComboFix, c'est une sauvegarde de la base de registre.
0
rafounet87 Messages postés 148 Date d'inscription   Statut Membre Dernière intervention  
 
Et je peux en faire quoi ? dedans j'ai vu un tcpip.sys ...
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 

cd %WINDIR%
cd ERUNT
batch erunt.com

en console
0

Discussions similaires

Supprimer compte Tendermeets.com
anonyme -
anonyme -

1 réponse