Supprimer rootkit : System32\consrv.dll
Résolu/Fermé
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
-
1 sept. 2012 à 17:51
Utilisateur anonyme - 11 sept. 2012 à 21:07
Utilisateur anonyme - 11 sept. 2012 à 21:07
A voir également:
- Supprimer system32
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Supprimer edge - Guide
- Supprimer bing - Guide
- Supprimer compte facebook - Guide
178 réponses
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
1 sept. 2012 à 17:54
1 sept. 2012 à 17:54
Bonjour,
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
Si tu es sur Windows XP, laisse-le installer la console de récupération.
▶ Ne touche à rien durant le scan
ComboFix devrait redémarrer ton PC.
▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
1 sept. 2012 à 18:16
1 sept. 2012 à 18:16
arf .....
c'est malin t'aurais du me le dire ......
tape cd windows
rstrui.exe
Restaure à une date avant combofix.
c'est malin t'aurais du me le dire ......
tape cd windows
rstrui.exe
Restaure à une date avant combofix.
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
1 sept. 2012 à 18:21
1 sept. 2012 à 18:21
Ah désolé j'aurais du dire quoi ?! En tout cas je suis en train de restaurer !!
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
1 sept. 2012 à 18:22
1 sept. 2012 à 18:22
ben qu'il y avait un problème et on n'aurait pas été plus loin ...
0access se laisse plus faire le bougre ^^
0access se laisse plus faire le bougre ^^
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
1 sept. 2012 à 18:25
1 sept. 2012 à 18:25
test stinger?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
1 sept. 2012 à 18:26
1 sept. 2012 à 18:26
stinger ?
jvais lui envoyer un Pre_Scan dans la face et j'vais me débrouiller avec ça oui ^^
jvais lui envoyer un Pre_Scan dans la face et j'vais me débrouiller avec ça oui ^^
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
1 sept. 2012 à 18:27
1 sept. 2012 à 18:27
hu hu! ^^
C'est juste parce qu'ils viennent de sortir une nouvelle version avec pas mal de variantes et j'aurais voulu savoir si il était efficace ;-)
C'est juste parce qu'ils viennent de sortir une nouvelle version avec pas mal de variantes et j'aurais voulu savoir si il était efficace ;-)
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 1/09/2012 à 18:52
Modifié par g3n-h@ckm@n le 1/09/2012 à 18:52
pre_scan_PE restaure la clé winsrv/consrv julien
edit::
pre_scan tout court aussi normalement
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
edit::
pre_scan tout court aussi normalement
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
1 sept. 2012 à 19:09
1 sept. 2012 à 19:09
non ça va rien faire revenir là combofix à bien déraillé et ERUNT a pas fonctionné ....
une idée pasc ou fab ?
une idée pasc ou fab ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
1 sept. 2012 à 19:13
1 sept. 2012 à 19:13
donc ça à faire : https://www.commentcamarche.net/faq/34284-pre-scan-pe-sous-environnement-win-7-live
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
1 sept. 2012 à 19:21
1 sept. 2012 à 19:21
Ok je vais tenter ça alors merci !!
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
2 sept. 2012 à 14:07
2 sept. 2012 à 14:07
Bonjour, j'ai essayé de lancer le pc sur le cd gravé, au départ ça marche : windows is loading files, puis message d'erreur: Windows has encountered a problem communicating with a device connected to your computer. This error can be caused by unplugging a removable storage device such as an external usb drive while the device is in use, or by faulty hardware such as a hard drive or cdrom drive that is failing. Make shure any removable storage is properly connected and then restart your computer. If you continue to receive this error message, contact the hardware manufacturer. Status 0xc00000e9 . Info: an unexpected I/O erreur has occured.
Pourtant j'ai bien fait la modif du bios pour démarrer sur le lecteur cd rom mais y a qqch qui bloque...
Je ne pense pas avoir raté une étape ?!
Merci de votre aide !!
Pourtant j'ai bien fait la modif du bios pour démarrer sur le lecteur cd rom mais y a qqch qui bloque...
Je ne pense pas avoir raté une étape ?!
Merci de votre aide !!
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
2 sept. 2012 à 15:55
2 sept. 2012 à 15:55
une clé usb ou un disque dut externe de connecté ?
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
2 sept. 2012 à 16:31
2 sept. 2012 à 16:31
Non !!
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
2 sept. 2012 à 16:40
2 sept. 2012 à 16:40
Ca pue...La ruche est niquée et le moindre fichier patché va devoir être retrouvé ailleurs que sur le pc infecté!
--
--
Utilisateur anonyme
Modifié par Electricien 69 le 2/09/2012 à 16:58
Modifié par Electricien 69 le 2/09/2012 à 16:58
hello les amis,
à part sentir un bon Chimay, ça pu du Max ++ !!
GH ou juju :
qu'est ce que vous attendez pour lancer l'outil ?
P.S :
pour les fichiers, on a tout ce qu'il faut (à voir) :P
<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
à part sentir un bon Chimay, ça pu du Max ++ !!
GH ou juju :
qu'est ce que vous attendez pour lancer l'outil ?
P.S :
pour les fichiers, on a tout ce qu'il faut (à voir) :P
<ital><gras>O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
2 sept. 2012 à 17:17
2 sept. 2012 à 17:17
Et bien ma foi tout ça n'est pas très rassurant...
Je pars une semaine donc je n'aurai plus accès à mon PC, donc je vous recontacte dès que je rentre, si vous avez une solution à me proposer?
En tout cas merci d'essayer !!!
Je pars une semaine donc je n'aurai plus accès à mon PC, donc je vous recontacte dès que je rentre, si vous avez une solution à me proposer?
En tout cas merci d'essayer !!!
chimay8
Messages postés
7720
Date d'inscription
jeudi 1 mai 2008
Statut
Contributeur sécurité
Dernière intervention
3 janvier 2014
60
2 sept. 2012 à 17:20
2 sept. 2012 à 17:20
Ça sent la bière...^^ Et pour l'OS aussi ça sent la bière!! Hi hi hi!
Suis pas sur que RK va pouvoir faire quelque chose! Quand un fichier est patché, il le remplace comment au fait?
Suis pas sur que RK va pouvoir faire quelque chose! Quand un fichier est patché, il le remplace comment au fait?
Utilisateur anonyme
2 sept. 2012 à 17:32
2 sept. 2012 à 17:32
RK ou presacn va remettre la valeur de registre, mais pour les fichiers patchés, il faut passer par CF !
si CF détecte une infection sur un fichier patché, ou il l'annonce car il n'a pas trouvé de fichiers sains sur le pc, ou il le ramplace ;-)
j'avais essayé de désinfecter manuellement, mais il y a déjà pas mal de temps :P
si CF détecte une infection sur un fichier patché, ou il l'annonce car il n'a pas trouvé de fichiers sains sur le pc, ou il le ramplace ;-)
j'avais essayé de désinfecter manuellement, mais il y a déjà pas mal de temps :P
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
2 sept. 2012 à 18:47
2 sept. 2012 à 18:47
ben ouais c est max++ car consrv.dll C'EST max++
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
2 sept. 2012 à 18:58
2 sept. 2012 à 18:58
bah combofix a destroy le windaube !
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
2 sept. 2012 à 19:00
2 sept. 2012 à 19:00
qu'est-ce que j'ai essayé de faire là ? https://forums.commentcamarche.net/forum/affich-25984313-supprimer-rootkit-system32-consrv-dll#3
Utilisateur anonyme
2 sept. 2012 à 23:15
2 sept. 2012 à 23:15
en tout cas y a un truc connecté qui est pourri....
faudrait voir avec la version usb , si ca se trouve c est cdrom.sys qui est patch"....
faudrait voir avec la version usb , si ca se trouve c est cdrom.sys qui est patch"....
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
2 sept. 2012 à 23:38
2 sept. 2012 à 23:38
pas con ...
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 15:32
8 sept. 2012 à 15:32
Bonjour,
me revoilà avec mon petit rootkit,
Suis-je censé faire ce qui est indiqué plus haut http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
et donc télécharger malwarebytes et roguekiller ou ça ne marchera pas ?
me revoilà avec mon petit rootkit,
Suis-je censé faire ce qui est indiqué plus haut http://tigzyrk.blogspot.fr/2011/09/rootkit-zeroaccess-max.html
et donc télécharger malwarebytes et roguekiller ou ça ne marchera pas ?
Utilisateur anonyme
8 sept. 2012 à 16:22
8 sept. 2012 à 16:22
bonjour,
on va essayer de le enttoyer, mais ce n'est pas gagné d'avance :
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
on va essayer de le enttoyer, mais ce n'est pas gagné d'avance :
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 16:31
8 sept. 2012 à 16:31
C'est fait, voila le rapport: RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Recherche -- Date : 08/09/2012 16:29:26
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 8 ¤¤¤
[TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Recherche -- Date : 08/09/2012 16:29:26
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 8 ¤¤¤
[TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> TROUVÉ
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
Utilisateur anonyme
8 sept. 2012 à 16:36
8 sept. 2012 à 16:36
RK l'a choppé :
2 actions à faire avec Roguekiller, et 2 rapports à poster :
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
¤¤¤ Infection : ZeroAccess ¤¤¤ [ZeroAccess] sys32\consrv.dll present!
2 actions à faire avec Roguekiller, et 2 rapports à poster :
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 16:38
8 sept. 2012 à 16:38
Il me demande de redémarrer lors de la suppression j'accepte ?
Utilisateur anonyme
8 sept. 2012 à 16:46
8 sept. 2012 à 16:46
oui, redémarre le pc,
on croise les doigts :D
on croise les doigts :D
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 16:53
8 sept. 2012 à 16:53
J'ai rescanné, il était toujours présent dans le rapport, j'ai resupprimé, et il m'a redemandé de redémarrer, j'ai dit oui...
Utilisateur anonyme
8 sept. 2012 à 16:54
8 sept. 2012 à 16:54
ok,
poste le rapport de Roguekiller en suppression, puis lance roguekiller
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
poste le rapport de Roguekiller en suppression, puis lance roguekiller
[*] Cliquer sur Host RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 16:56
8 sept. 2012 à 16:56
Il a voulu redémarrer donc j'ai mis non et voici le rapport suppression: RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Suppression -- Date : 08/09/2012 16:54:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : Suppression -- Date : 08/09/2012 16:54:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> NON SUPPRIMÉ, UTILISER DNS RAZ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] c423aaf4ae0dc3648b013c0602ae33df
[BSP] 16b1821b71bc153aded88101023c0a4f : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 28878848 | Size: 469884 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991201280 | Size: 469883 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 16:57
8 sept. 2012 à 16:57
Avec host raz il a voulu également redémarrer j'ai dit non voici le rapport : RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : HOSTS RAZ -- Date : 08/09/2012 16:56:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ Nouveau fichier HOSTS: ¤¤¤
Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : HOSTS RAZ -- Date : 08/09/2012 16:56:39
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 af-za.facebook.com
127.0.0.1 az-az.facebook.com
127.0.0.1 id-id.facebook.com
127.0.0.1 ms-my.facebook.com
127.0.0.1 bs-ba.facebook.com
127.0.0.1 ca-es.facebook.com
127.0.0.1 cs-cz.facebook.com
127.0.0.1 cy-gb.facebook.com
127.0.0.1 da-dk.facebook.com
127.0.0.1 de-de.facebook.com
127.0.0.1 et-ee.facebook.com
127.0.0.1 en-gb.facebook.com
127.0.0.1 es-la.facebook.com
127.0.0.1 eo-eo.facebook.com
127.0.0.1 eu-es.facebook.com
127.0.0.1 tl-ph.facebook.com
127.0.0.1 fo-fo.facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 fy-nl.facebook.com
[...]
¤¤¤ Nouveau fichier HOSTS: ¤¤¤
Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt
Utilisateur anonyme
8 sept. 2012 à 17:12
8 sept. 2012 à 17:12
redémarre le pc pour réintialiser le fichier Host
relance roguekiller,
[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
relance roguekiller,
[*] Cliquer sur DNS RAZ. Cliquer sur Rapport et copier coller le contenu du notepad
rafounet87
Messages postés
148
Date d'inscription
samedi 1 septembre 2012
Statut
Membre
Dernière intervention
11 septembre 2012
8 sept. 2012 à 17:15
8 sept. 2012 à 17:15
Rapport DNS :RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : DNS RAZ -- Date : 08/09/2012 17:14:32
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dupuis Jean Luc [Droits d'admin]
Mode : DNS RAZ -- Date : 08/09/2012 17:14:32
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 2 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{D89C332B-5F8B-4006-97A5-EE5501D5C27F} : NameServer (8.26.56.26,156.154.70.22) -> REMPLACÉ ()
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
1 sept. 2012 à 18:15
J'ai exécuté combofix, mais il m'a mis plusieurs messages d'erreur, du type :
unable to create file: C:\windows\erdnt\Hiv-backup\ERDNT.INF Registry backup will continue, but no restore information for the ERDNT program will be saved. This means that last restoration of the registry can only be done manually, by using another OS to copy back the files.
puis: Error saving file C:\windows\erdnt\Hiv-backup\BCD Continue with the next file? (yes)
puis plusieurs autres du même genre,
puis à la fin, je me retrouve avec l'ecran msdos suivant : c.bat n'est pas reconnu en tant que commande interne ou externe, un programme executable ou un fichier de commandes. C:\monprenom>_