Sujet Précédent Sujet Suivant

Supprimer rootkit : System32\consrv.dll

Résolu/Fermé
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012 - 1 sept. 2012 à 17:51
 Utilisateur anonyme - 11 sept. 2012 à 21:07
Bonjour,
Je viens d'installer comodo comme antivirus sur mon pc, qui me détecte le rootkit suivant : C:\Windows\System32\consrv.dll
En cherchant sur internet j'ai vu qu'il y avait moyen de le supprimer, mais j'ai cru comprendre qu'il valait mieux ne pas essayer d'imiter ce qui est conseillé dans les autres posts, donc je me permet de demander votre aide.
Merci d'avance pour vos conseils!


A voir également:

178 réponses

Précédent
Réponse 101 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 14:45
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows 7 Home Edition (6.1.7601) Service Pack 1
[32_bits] - AMD64 Family 16 Model 6 Stepping 2, AuthenticAMD
.
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !
[MpsSvc] RUNNING (state:4)
Windows Firewall -> Enabled
Windows Defender -> Enabled
User Account Control (UAC) -> Enabled
.
Internet Explorer 8.0.7601.17514
Mozilla Firefox 11.0 (fr)
.
C:\ [Fixed-NTFS] .. ( Total:458 Go - Free:162 Go )
D:\ [Fixed-NTFS] .. ( Total:458 Go - Free:458 Go )
E:\ [CD_Rom]
G:\ [Removable]
H:\ [Removable]
I:\ [Removable]
.
Scan : 14:43.02
Path : C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe
User : Dupuis Jean Luc ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
Locked System (4)
______ ????????? (280)
______ ????????? (432)
______ ????????? (484)
______ ????????? (520)
______ ????????? (544)
______ ????????? (560)
______ ????????? (568)
______ ????????? (700)
______ ????????? (732)
______ ????????? (800)
______ ????????? (840)
______ ????????? (928)
______ ????????? (980)
______ ????????? (112)
Locked audiodg.exe (424)
______ ????????? (824)
______ ????????? (1092)
______ ????????? (1176)
______ ????????? (1252)
______ ????????? (1288)
______ C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (1352)
______ ????????? (1456)
______ C:\Windows\SysWOW64\svchost.exe (1476)
______ ????????? (1512)
______ ????????? (1776)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe (1928)
______ C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe (2032)
______ C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe (1116)
______ C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe (1444)
______ C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (1676)
______ C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (1696)
______ ????????? (1832)
______ ????????? (1324)
______ ????????? (1648)
______ C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe (2396)
______ ????????? (2104)
______ C:\Program Files\Acer\Acer Updater\UpdaterService.exe (2188)
______ ????????? (2272)
______ ????????? (372)
______ ????????? (3004)
______ ????????? (3028)
______ ????????? (3172)
______ ????????? (6868)
______ ????????? (6904)
______ ????????? (7024)
______ C:\Users\Dupuis Jean Luc\Desktop\Rooter.exe (6788)
Locked svchost.exe (7160)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:14680064000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:14681112576 | Length:104857600)
\Device\Harddisk0\Partition3 (Start_Offset:14785970176 | Length:492709085184)
\Device\Harddisk0\Partition4 (Start_Offset:507495055360 | Length:492708782080)
.
----------------------\\ Scheduled Tasks
.
C:\Windows\Tasks\Adobe Flash Player Updater.job
C:\Windows\Tasks\GoogleUpdateTaskMachineCore1cd64c857dfa5e0.job
C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000Core1cd6686fa0d5910.job
C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3224299066-1294148903-758974097-1000UA.job
C:\Windows\Tasks\SA.DAT
C:\Windows\Tasks\SCHEDLGU.TXT
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 14:43.40
.
C:\Rooter$\Rooter_2.txt - (09/09/2012 | 14:43.40)
0
Réponse 102 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 14:58
Cela veut-il dire qqch pour vous?!
0
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 15:16
[wscsvc] STOPPED (state:1) : Security Center -> Disabled !

Bin qu'il y a quelque chose qui merde encore...On n'a déjà passé combofix?
0
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 15:18
http://assiste.com.free.fr/p/services_windows/centre_de_securite.html
0
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:21
Oui justement c'est après combofix que j'ai perdu ma connexion.
0
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 15:25
https://forum.malekal.com/viewtopic.php?t=36444&start=
0
Réponse 103 / 178
Utilisateur anonyme
9 sept. 2012 à 15:06
est ce que tu as une icône de ta connexion dans la barre de lancement rapide, en bas à droite de ton ecran ?

si tu glisses ta souris dessus, qu'affiche t on ?


0
Réponse 104 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:10
Oui ça affiche réseau non identifié pas d'accès réseau.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 105 / 178
Utilisateur anonyme
Modifié par Electricien 69 le 9/09/2012 à 15:24
ok,

si le pc est équipé pour une connexion sans file, essaie de configurer une connextion wifi pour voir si ça le fait pareil !




<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
0
Réponse 106 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:24
J'ai pas de clé wifi sur mon pc.
0
Réponse 107 / 178
Utilisateur anonyme
9 sept. 2012 à 15:25
ok,

vérifie bien que le câble soit bien enfoncé dans la prise rj45, derrière le pc et derrière la box !


0
Réponse 108 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:26
Oui, les câbles sont bien enfoncés !
0
Réponse 109 / 178
Utilisateur anonyme
9 sept. 2012 à 15:28
essaie ceci :

https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll?page=6#187

autrement, on envisage de restaurer ton pc juste avant le passage de combofix et recommencer !



0
Réponse 110 / 178
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 15:29
Je pense qu'il faut d'abord réparer le centre de sécurité, tu sais!
T'auras moins de problèmes derrière ;-)
0
Utilisateur anonyme
9 sept. 2012 à 15:37
je sais,

il y a une autre solution :

supprimer la connexion existante, puis en créer une nouvelle !
0
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 15:43
Pas impossible, mais essaye d'abord le fichier.reg approprié pour réparer [wscsvc] parce que si tu dois créer une nouvelle connexion, il y a des chances que ça merde!
:)
0
Réponse 111 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:37
Désolé je fouine là-dedans mais je ne saisis pas trop ce que je dois faire !
0
Réponse 112 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:46
Je double clique sur wscsvc.reg et legacy_wscsvc.reg mais dans les 2 cas j'ai erreur d'accès au registre.
0
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 15:49
Essaye en tant qu'admin
exécuter en tant qu'administrateur
;)
0
Réponse 113 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:50
On me propose pas d'exécuter en tant qu'admin, y a uniquement fusionner.
0
Réponse 114 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 15:52
J'ai ajouté afd.reg,
mais erreur pour: legacyafd.reg, wuauserv.reg.

Dois-je essayer les autres aussi ?
0
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
9 sept. 2012 à 16:07
uniquement wscscv.reg de seven
0
Réponse 115 / 178
Utilisateur anonyme
9 sept. 2012 à 16:11
une autre idée, à voir si ça fonctionne :


regarde dan dans le répertoire Qoobox,

tu dois trouver un fichier avec le nom tcpip.txt

change son nom en tcpip.reg

fais un clique droit dessus, puis fusionner.

redémarre ton pc et essaie de voir si la connexion revient !



0
Réponse 116 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 16:18
J'ai trouvé tcpip.reg, mais pas txt, je fusionne celui-ci ?
0
Réponse 117 / 178
Utilisateur anonyme
9 sept. 2012 à 16:20
il faut que tu sois l'administrateur, fusionne le et on verra bien,

si le problème vient du passage de Combofix, on y verra le résultat vite faire :D


0
Réponse 118 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 16:20
C'est bon je l'ai fusionné, je redémarre.
0
Réponse 119 / 178
Utilisateur anonyme
9 sept. 2012 à 16:21
ok,

:D


0
Réponse 120 / 178
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 16:27
Et bien c'est toujours pareil.....
0
Utilisateur anonyme
9 sept. 2012 à 16:28
Salut
Aurais-tu un dossier nommé ERDNT dans le répertoire Windows ?
0
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 16:29
Bonjour! Oui en effet!
0
Utilisateur anonyme
9 sept. 2012 à 16:31
Ce dossier a été créé par ERUNT juste avant le passage de ComboFix, c'est une sauvegarde de la base de registre.
0
rafounet87 Messages postés 148 Date d'inscription samedi 1 septembre 2012 Statut Membre Dernière intervention 11 septembre 2012
9 sept. 2012 à 16:34
Et je peux en faire quoi ? dedans j'ai vu un tcpip.sys ...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 795
9 sept. 2012 à 16:36

cd %WINDIR%
cd ERUNT
batch erunt.com

en console
0