Supprimer rootkit : System32\consrv.dll
Résolu
rafounet87
Messages postés
154
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!
A voir également:
- Supprimer system32
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
- Supprimer application windows 10 - Guide
178 réponses
Résumé de la discussion
Le problème concerne la détection d’un rootkit potentiel, consrv.dll, dans C:\Windows\System32 par l’antivirus sur Windows 7, et la question porte sur une méthode sûre de nettoyage.
Une solution proposée est l’utilisation de ComboFix avec des étapes précises: désactiver temporairement la protection, lancer l’outil en mode administrateur, permettre les mises à jour et l’analyse, puis consulter le rapport ComboFix.txt et réactiver la protection.
Des retours d’expérience signalent néanmoins des erreurs lors de l’exécution (impossible de créer des fichiers, erreurs de sauvegarde BCD, message « c.bat n’est pas reconnu ») et des symptômes réseau indiquant une perte de connectivité locale.
Plusieurs éléments évoquent l’usage d’outils complémentaires (ERDNT, diagnostics réseau) et la collecte de rapports (ConfigReseau.txt) pour poursuivre le nettoyage, sans consensus sur une résolution immédiate.
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows 7 Home Edition (6.1.7601) Service Pack 1
[32_bits] - AMD64 Family 16 Model 6 Stepping 2, AuthenticAMD
.
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !
[MpsSvc] RUNNING (state:4)
Windows Firewall -> Enabled
Windows Defender -> Enabled
User Account Control (UAC) -> Enabled
.
Internet Explorer 8.0.7601.17514
Mozilla Firefox 11.0 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:458 Go - Free:162 Go )
D:\ [Fixed-NTFS] .. ( Total:458 Go - Free:458 Go )
E:\ [CD_Rom]
G:\ [Removable]
H:\ [Removable]
I:\ [Removable]
.
Scan : 14:43.02
Path : C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe
User : Dupuis Jean Luc ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
Locked System (4)
______ ????????? (280)
______ ????????? (432)
______ ????????? (484)
______ ????????? (520)
______ ????????? (544)
______ ????????? (560)
______ ????????? (568)
______ ????????? (700)
______ ????????? (732)
______ ????????? (800)
______ ????????? (840)
______ ????????? (928)
______ ????????? (980)
______ ????????? (112)
Locked audiodg.exe (424)
______ ????????? (824)
______ ????????? (1092)
______ ????????? (1176)
______ ????????? (1252)
______ ????????? (1288)
______ C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (1352)
______ ????????? (1456)
______ C:\Windows\SysWOW64\svchost.exe (1476)
______ ????????? (1512)
______ ????????? (1776)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (1928)
______ C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe (2032)
______ C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe (1116)
______ C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe (1444)
______ C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (1676)
______ C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (1696)
______ ????????? (1832)
______ ????????? (1324)
______ ????????? (1648)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe (2396)
______ ????????? (2104)
______ C:\Program Files\Acer\Acer Updater\UpdaterService.exe (2188)
______ ????????? (2272)
______ ????????? (372)
______ ????????? (3004)
______ ????????? (3028)
______ ????????? (3172)
______ ????????? (6868)
______ ????????? (6904)
______ ????????? (7024)
______ C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe (6788)
Locked svchost.exe (7160)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:14680064000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:14681112576 | Length:104857600)
\Device\Harddisk0\Partition3 (Start_Offset:14785970176 | Length:492709085184)
\Device\Harddisk0\Partition4 (Start_Offset:507495055360 | Length:492708782080)
.
----------------------\\ Scheduled Tasks
.
C:\Windows\Tasks\Adobe Flash Player Updater.job
C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cd64c857dfa5e0.job
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000Core1cd6686fa0d5910.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000UA.job
C:\Windows\Tasks\SA.DAT
C:\Windows\Tasks\SCHEDLGU.TXT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 14:43.40
.
C:\Rooter$\Rooter_2.txt - (09/09/2012 | 14:43.40)
.
SeDebugPrivilege granted successfully ...
.
Windows 7 Home Edition (6.1.7601) Service Pack 1
[32_bits] - AMD64 Family 16 Model 6 Stepping 2, AuthenticAMD
.
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !
[MpsSvc] RUNNING (state:4)
Windows Firewall -> Enabled
Windows Defender -> Enabled
User Account Control (UAC) -> Enabled
.
Internet Explorer 8.0.7601.17514
Mozilla Firefox 11.0 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:458 Go - Free:162 Go )
D:\ [Fixed-NTFS] .. ( Total:458 Go - Free:458 Go )
E:\ [CD_Rom]
G:\ [Removable]
H:\ [Removable]
I:\ [Removable]
.
Scan : 14:43.02
Path : C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe
User : Dupuis Jean Luc ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
Locked System (4)
______ ????????? (280)
______ ????????? (432)
______ ????????? (484)
______ ????????? (520)
______ ????????? (544)
______ ????????? (560)
______ ????????? (568)
______ ????????? (700)
______ ????????? (732)
______ ????????? (800)
______ ????????? (840)
______ ????????? (928)
______ ????????? (980)
______ ????????? (112)
Locked audiodg.exe (424)
______ ????????? (824)
______ ????????? (1092)
______ ????????? (1176)
______ ????????? (1252)
______ ????????? (1288)
______ C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (1352)
______ ????????? (1456)
______ C:\Windows\SysWOW64\svchost.exe (1476)
______ ????????? (1512)
______ ????????? (1776)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (1928)
______ C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe (2032)
______ C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe (1116)
______ C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe (1444)
______ C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (1676)
______ C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (1696)
______ ????????? (1832)
______ ????????? (1324)
______ ????????? (1648)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe (2396)
______ ????????? (2104)
______ C:\Program Files\Acer\Acer Updater\UpdaterService.exe (2188)
______ ????????? (2272)
______ ????????? (372)
______ ????????? (3004)
______ ????????? (3028)
______ ????????? (3172)
______ ????????? (6868)
______ ????????? (6904)
______ ????????? (7024)
______ C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe (6788)
Locked svchost.exe (7160)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:14680064000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:14681112576 | Length:104857600)
\Device\Harddisk0\Partition3 (Start_Offset:14785970176 | Length:492709085184)
\Device\Harddisk0\Partition4 (Start_Offset:507495055360 | Length:492708782080)
.
----------------------\\ Scheduled Tasks
.
C:\Windows\Tasks\Adobe Flash Player Updater.job
C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cd64c857dfa5e0.job
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000Core1cd6686fa0d5910.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000UA.job
C:\Windows\Tasks\SA.DAT
C:\Windows\Tasks\SCHEDLGU.TXT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 14:43.40
.
C:\Rooter$\Rooter_2.txt - (09/09/2012 | 14:43.40)
est ce que tu as une icône de ta connexion dans la barre de lancement rapide, en bas à droite de ton ecran ?
si tu glisses ta souris dessus, qu'affiche t on ?
si tu glisses ta souris dessus, qu'affiche t on ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
si le pc est équipé pour une connexion sans file, essaie de configurer une connextion wifi pour voir si ça le fait pareil !
<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
si le pc est équipé pour une connexion sans file, essaie de configurer une connextion wifi pour voir si ça le fait pareil !
<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
ok,
vérifie bien que le câble soit bien enfoncé dans la prise rj45, derrière le pc et derrière la box !
vérifie bien que le câble soit bien enfoncé dans la prise rj45, derrière le pc et derrière la box !
essaie ceci :
https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll?page=6#187
autrement, on envisage de restaurer ton pc juste avant le passage de combofix et recommencer !
https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll?page=6#187
autrement, on envisage de restaurer ton pc juste avant le passage de combofix et recommencer !
Je pense qu'il faut d'abord réparer le centre de sécurité, tu sais!
T'auras moins de problèmes derrière ;-)
T'auras moins de problèmes derrière ;-)
Je double clique sur wscsvc.reg et legacy_wscsvc.reg mais dans les 2 cas j'ai erreur d'accès au registre.
J'ai ajouté afd.reg,
mais erreur pour: legacyafd.reg, wuauserv.reg.
Dois-je essayer les autres aussi ?
mais erreur pour: legacyafd.reg, wuauserv.reg.
Dois-je essayer les autres aussi ?
une autre idée, à voir si ça fonctionne :
regarde dan dans le répertoire Qoobox,
tu dois trouver un fichier avec le nom tcpip.txt
change son nom en tcpip.reg
fais un clique droit dessus, puis fusionner.
redémarre ton pc et essaie de voir si la connexion revient !
regarde dan dans le répertoire Qoobox,
tu dois trouver un fichier avec le nom tcpip.txt
change son nom en tcpip.reg
fais un clique droit dessus, puis fusionner.
redémarre ton pc et essaie de voir si la connexion revient !
il faut que tu sois l'administrateur, fusionne le et on verra bien,
si le problème vient du passage de Combofix, on y verra le résultat vite faire :D
si le problème vient du passage de Combofix, on y verra le résultat vite faire :D
