Supprimer rootkit : System32\consrv.dll [Résolu/Fermé]

rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 1 sept. 2012 à 17:51 - Dernière réponse :  Utilisateur anonyme
- 11 sept. 2012 à 21:07
Bonjour,
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!


Afficher la suite 

301 réponses

juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 1 sept. 2012 à 17:54
0
Utile
1
Bonjour,


▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix

Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur combofix renommé

Si tu es sur Windows XP, laisse-le installer la console de récupération.

▶ Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 1 sept. 2012 à 18:15
Merci pour cette réponse aussi rapide.
J'ai exécuté combofix, mais il m'a mis plusieurs messages d'erreur, du type :
unable to create file: C:\windows\erdnt\Hiv-backup\ERDNT.INF Registry backup will continue, but no restore information for the ERDNT program will be saved. This means that last restoration of the registry can only be done manually, by using another OS to copy back the files.
puis: Error saving file C:\windows\erdnt\Hiv-backup\BCD Continue with the next file? (yes)
puis plusieurs autres du même genre,
puis à la fin, je me retrouve avec l'ecran msdos suivant : c.bat n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commandes. C:\monprenom>_
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 1 sept. 2012 à 18:16
0
Utile
7
arf .....

c'est malin t'aurais du me le dire ......

tape cd windows
rstrui.exe

Restaure à une date avant combofix.
chimay8 7732 Messages postés jeudi 1 mai 2008Date d'inscriptionContributeur sécuritéStatut 3 janvier 2014 Dernière intervention - 1 sept. 2012 à 18:25
test stinger?
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 1 sept. 2012 à 18:26
stinger ?

jvais lui envoyer un Pre_Scan dans la face et j'vais me débrouiller avec ça oui ^^
chimay8 7732 Messages postés jeudi 1 mai 2008Date d'inscriptionContributeur sécuritéStatut 3 janvier 2014 Dernière intervention - 1 sept. 2012 à 18:27
hu hu! ^^
C'est juste parce qu'ils viennent de sortir une nouvelle version avec pas mal de variantes et j'aurais voulu savoir si il était efficace ;-)
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 1 sept. 2012 à 18:40
Bon en fait ça met du temps parce que il me dit tt le temps échec de la restauration car il me réclame un fichier qui est en fait un truc qui a été mis en quarantaine récemment par comodo... J'essaie donc de restaurer encore plus tôt.
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 1 sept. 2012 à 18:46
Il refuse catégoriquement de restaurer toujours à cause du même fichier qui a été mis en quarantaine et que pourtant j'ai restauré depuis la quarantaine de comodo, mais que maintenant je ne retrouve plus nulle part ni à son emplacement d'origine... Que faire? Ne puis-je pas juste supprimer l'appli combofix de mon bureau?
0
Utile
pre_scan_PE restaure la clé winsrv/consrv julien

edit::

pre_scan tout court aussi normalement

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 1 sept. 2012 à 19:09
0
Utile
non ça va rien faire revenir là combofix à bien déraillé et ERUNT a pas fonctionné ....

une idée pasc ou fab ?
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 1 sept. 2012 à 19:13
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 1 sept. 2012 à 19:21
Ok je vais tenter ça alors merci !!
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 2 sept. 2012 à 14:07
0
Utile
Bonjour, j'ai essayé de lancer le pc sur le cd gravé, au départ ça marche : windows is loading files, puis message d'erreur: Windows has encountered a problem communicating with a device connected to your computer. This error can be caused by unplugging a removable storage device such as an external usb drive while the device is in use, or by faulty hardware such as a hard drive or cdrom drive that is failing. Make shure any removable storage is properly connected and then restart your computer. If you continue to receive this error message, contact the hardware manufacturer. Status 0xc00000e9 . Info: an unexpected I/O erreur has occured.
Pourtant j'ai bien fait la modif du bios pour démarrer sur le lecteur cd rom mais y a qqch qui bloque...
Je ne pense pas avoir raté une étape ?!
Merci de votre aide !!
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 2 sept. 2012 à 15:55
0
Utile
1
une clé usb ou un disque dut externe de connecté ?
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 2 sept. 2012 à 16:31
Non !!
chimay8 7732 Messages postés jeudi 1 mai 2008Date d'inscriptionContributeur sécuritéStatut 3 janvier 2014 Dernière intervention - 2 sept. 2012 à 16:40
0
Utile
Ca pue...La ruche est niquée et le moindre fichier patché va devoir être retrouvé ailleurs que sur le pc infecté!

--
0
Utile
2
hello les amis,

à part sentir un bon Chimay, ça pu du Max ++ !!

GH ou juju :

qu'est ce que vous attendez pour lancer l'outil ?

P.S :

pour les fichiers, on a tout ce qu'il faut (à voir) :P



<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 2 sept. 2012 à 17:17
Et bien ma foi tout ça n'est pas très rassurant...
Je pars une semaine donc je n'aurai plus accès à mon PC, donc je vous recontacte dès que je rentre, si vous avez une solution à me proposer?
En tout cas merci d'essayer !!!
chimay8 7732 Messages postés jeudi 1 mai 2008Date d'inscriptionContributeur sécuritéStatut 3 janvier 2014 Dernière intervention - 2 sept. 2012 à 17:20
Ça sent la bière...^^ Et pour l'OS aussi ça sent la bière!! Hi hi hi!
Suis pas sur que RK va pouvoir faire quelque chose! Quand un fichier est patché, il le remplace comment au fait?
Utilisateur anonyme - 2 sept. 2012 à 17:32
0
Utile
RK ou presacn va remettre la valeur de registre, mais pour les fichiers patchés, il faut passer par CF !

si CF détecte une infection sur un fichier patché, ou il l'annonce car il n'a pas trouvé de fichiers sains sur le pc, ou il le ramplace ;-)

j'avais essayé de désinfecter manuellement, mais il y a déjà pas mal de temps :P



juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 2 sept. 2012 à 18:47
0
Utile
9
ben ouais c est max++ car consrv.dll C'EST max++
Utilisateur anonyme - 2 sept. 2012 à 19:01
il n'y a pas de console de récupe sur le pc ?
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 2 sept. 2012 à 19:06
nan puisque ça affiche ça directement...
Utilisateur anonyme - 2 sept. 2012 à 19:27
bah, ou on trouve une console de récup, ou réinstallation de windows après un bon reformatage !
chimay8 7732 Messages postés jeudi 1 mai 2008Date d'inscriptionContributeur sécuritéStatut 3 janvier 2014 Dernière intervention - 2 sept. 2012 à 19:28
D'où le blème...Ca pue! Pas de console, ruche pourrie, la resto est naze,...
Pour moi, c'est format c:
:p
Utilisateur anonyme - 2 sept. 2012 à 23:15
0
Utile
en tout cas y a un truc connecté qui est pourri....

faudrait voir avec la version usb , si ca se trouve c est cdrom.sys qui est patch"....
juju666 35728 Messages postés jeudi 18 décembre 2008Date d'inscriptionContributeur sécuritéStatut 16 août 2017 Dernière intervention - 2 sept. 2012 à 23:38
0
Utile
pas con ...
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 15:32
0
Utile
Bonjour,
me revoilà avec mon petit rootkit,
Suis-je censé faire ce qui est indiqué plus haut http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
et donc télécharger malwarebytes et roguekiller ou ça ne marchera pas ?
Utilisateur anonyme - 8 sept. 2012 à 16:22
0
Utile
1
bonjour,

on va essayer de le enttoyer, mais ce n'est pas gagné d'avance :


* [*] Télécharger et enregistre RogueKiller sur le bureau
http://www.sur-la-toile.com/RogueKiller/ (by tigzy)

[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.


rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 16:31
C'est fait, voila le rapport: RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Recherche -- Date : 08/09/2012 16:29:26

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
Utilisateur anonyme - 8 sept. 2012 à 16:36
0
Utile
1
RK l'a choppé :

¤¤¤ Infection : ZeroAccess ¤¤¤ 
[ZeroAccess] sys32\consrv.dll present! 




2 actions à faire avec Roguekiller, et 2 rapports à poster :




[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad



[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad




rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 16:38
Il me demande de redémarrer lors de la suppression j'accepte ?
Utilisateur anonyme - 8 sept. 2012 à 16:46
0
Utile
1
oui, redémarre le pc,

on croise les doigts :D


rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 16:53
J'ai rescanné, il était toujours présent dans le rapport, j'ai resupprimé, et il m'a redemandé de redémarrer, j'ai dit oui...
Utilisateur anonyme - 8 sept. 2012 à 16:54
0
Utile
2
ok,

poste le rapport de Roguekiller en suppression, puis lance roguekiller


[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad


rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 16:56
Il a voulu redémarrer donc j'ai mis non et voici le rapport suppression: RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Suppression -- Date : 08/09/2012 16:54:39

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 16:57
Avec host raz il a voulu également redémarrer j'ai dit non voici le rapport : RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : HOSTS RAZ -- Date : 08/09/2012 16:56:39

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]


¤¤¤ Nouveau fichier HOSTS: ¤¤¤


Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt
Utilisateur anonyme - 8 sept. 2012 à 17:12
0
Utile
1
redémarre le pc pour réintialiser le fichier Host


relance roguekiller,


[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad


rafounet87 148 Messages postés samedi 1 septembre 2012Date d'inscription 11 septembre 2012 Dernière intervention - 8 sept. 2012 à 17:15
Rapport DNS :RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : DNS RAZ -- Date : 08/09/2012 17:14:32

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!

Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
Supprimer rootkit : System32\consrv.dll - page 2