fichier c:\kernel\r00t3rFermé

Question

bonjour et merci de m'aider à resoudre ce problème :"impossible de trouver le fichier c:\kernel\r00t3r" ce message s'affiche toutefois que mon bureau windows finit de charger.
j'ai pas de fichier de demarrage concernant ce message dans l'onglet demarrage de msconfig. j'ai tenté la commande SCF/SCANNOW en ligne de commande qui n'a aussi rien donné. 
j'ai un windows 7 edition integrale installé sur mon acer aspire 5742.
merci encore de m'aider suis vraiment epuisé....

dan3805 · Answer

https://answers.microsoft.com/fr-fr/windows/forum/windows_7-system/windows-script-host-ckernelr00t3r/8a93f531-8161-4dfa-8571-52e6bf6f3ab9?msgId=629fb812-9866-41f4-83b2-c3c2a4c8ab24

jlpjlp · Answer

slt



Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.com/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

clovis · Answer

ok merci beaucoup pour cette première étape mais le problème est que je n'arrive pas à telecharger zebulon aussi bien sur le lien que vous m'avez donné que sur google, commentcamarche.net et plien d'autres encore.... je ne sais pas si c'est ce problème qui fait cela?

clovis · Answer

je suis sur cijoint actuellement mais je n'arrive pas à trouver le lien parcourir qui me permettra de joindre mon rapport zhpdiag!

jlpjlp · Answer

recommence ...

clovis · Answer

j'ai dû utiliser l'autre methode voici le lien: http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130329_i14b9q12s8s8

jlpjlp · Answer

supprimes SpeedMaxPc qui est néfaste et fait planter le pc

télécharges adwcleaner et colle un rapport de suppression avec 

puis télécharges malwarebyte, mets le a jour et colles un rapport d'analyse rapide avec 

a plus

clovis · Answer

ok c'est fait, bonne fête de paques mais que dois je faire maintenant

juju666 · Answer

salut clovis poste les rapports comme demandés

a+

clovis · Answer

ok c'est fait mais comment joindre le fichier du rapport malwarebyte ici dans mon message?

juju666 · Answer

Ouvrir MBAM => onglet Rapports/Logs => tu prends celui avec les malwares détectés => ctrl+a puis ctrl+c et tu reviens ici, click bouton bleu "répondre" ctrl+v et valider

clovis · Answer

je n'y arrive pas, ca ne se colle pas ici

juju666 · Answer

il dit "titre du message non renseigné" ou un autre message d'erreur ? 
si oui envoie sur http://pjjoint.malekal.com et colle le lien qu'il te donne en échange

clovis · Answer

ok voici le lien: http://pjjoint.malekal.com/files.php?id=20130331_y1411v11b14q6

juju666 · Answer

lol tout ça pour ça 

fais de même avec le rapport adwcleaner

et la suite avec jlpjlp

@+

clovis · Answer

j'arrive pas à poster le second voici le message qu'on me dit: Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.
quant-à jlpjlp, qu'est ce que c'est?

juju666 · Answer

et sur cjoint.com ça donne quoi ? 

jlpjlp c'est la personne qui t'aidait au début ^^

clovis · Answer

avec cjoint , je n'arrivait pas à savoir comment proceder pour poster le rapport de zhp diag donc j'ai dû recourir à pjjoint qui m'a renvoyé le lien suivant: http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130331_z11t5u9i8g8

juju666 · Answer

ah mais je parlais du rapport AdwCleaner pas ZHPDiag
C:\AdwCleaner[S1].txt

clovis · Answer

toujours avec pjjoint, quand j'essais de poster celui de adwcleaner, voici le message que je recois: 
Vous ne pouvez pas uploader de fichiers dont la taille est supérieure à : 20000 Ko ou dont la longueur du nom est supérieur à 50 caractères et qui contient des caractères spéciaux.
que dois je faire?

clovis · Answer

vu que j'y arrive pas, j'ai copié collé le texte du rapport de adwcleaner sur pjjoint et j'ai recu le lien qui suit:

http://pjjoint.malekal.com/files.php?id=20130331_y11q11y1110d15

je pense maintenant que t'as tout ce que tu m'as demandé, j'attends maintenant avec impatience la reponse du messie que tu es, sauves moi comme jesus, juste pour plaisanter.

jlpjlp · Answer

ok  
slt juju666 n'hésite pas a faire avancer ...



remets un rapport zhpdiag tout neuf 

a plus

clovis · Answer

voici le lien recu à la suite du nouveau rapport demandé:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130331_o9h6b86s13

clovis · Answer

voici le nouveau lien obtenu avec une mise à jour de zhpdiag recue:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130331_z14r6j5j10f8

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

---------------------------------------------------------- 

[HKCU\Software\SpeedMaxPc]
[HKLM\Software\AskTBar]
[HKLM\Software\SpeedMaxPc]
M3 - MFPP: Plugins - [COULIBALY] -- C:\Program Files\Mozilla FireFox\searchplugins\glarysearch.xml
M3 - MFPP: Plugins - [COULIBALY] -- C:\Program Files\Mozilla FireFox\searchplugins\Web Search.xml
R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww7.certified-toolbar.com
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]   =>Toolbar.Bing
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]   =>Toolbar.Bing
C:\ProgramData\SpeedMaxPc   =>PUP.SpeedMaxPc
C:\Users\COULIBALY\AppData\Roaming\SpeedMaxPc   =>PUP.SpeedMaxPc
C:\Users\COULIBALY\AppData\Local\Media Get LLC   =>PUP.MediaGet
C:\Users\COULIBALY\AppData\Local\MediaGet2   =>PUP.MediaGet
EmptyCLSID
EmptyFlash
EmptyTemp


_____________________________________________

* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
* Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
e script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Clique sur le bouton GO pour lancer le nettoyage
* Copie/colle la totalité du rapport dans ta prochaine réponse.





ensuite branches tes supports externes et colles un rapport de recherche avec usbfix

clovis · Answer

ok voici: 
Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-31-03-2013-20-04-58.txt
Run by COULIBALY at 31/03/2013 20:04:58
High Elevated Privileges : OK
Windows Vista Ultimate Edition, 32-bit  (Build 6000)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\SpeedMaxPc
SUPPRIME Key: HKLM\Software\AskTBar
SUPPRIME Key: HKLM\Software\SpeedMaxPc
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\glarysearch.xml 
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\web search.xml 
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows


========== Récapitulatif ==========
5 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
4 : Fichier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 31/03/2013 20:04:58 [1373]

jlpjlp · Answer

ok fais la suite indiquée

et expliques tes problèmes actuels

a plus

clovis · Answer

bonjour, s'il vous plait j'ai fait une fausse manip qui a supprimé le dernier message que vous m'avez envoyé dans ma boite, pouvez vous me le ramener?

clovis · Answer

de quel suite parlez vous s'il vous plait, je comprends pas, jusque là j'ai suivi vos instructions mais le problème n'est pas encore résolu(impossible de trouver le fichier c:\kernel\r00t3r);

jlpjlp · Answer

ensuite branches tes supports externes et colles un rapport de recherche avec usbfix

clovis · Answer

ok bonjour, voici le lien de usbfix:

http://pjjoint.malekal.com/files.php?id=20130402_j8g14s6v10j6

jlpjlp · Answer

ok colles un rapport avec l'option de suppression

et expliques tes problèmes actuels

a plus

foo · Answer

ok le voici:
 
http://pjjoint.malekal.com/files.php?id=20130402_l10m12z6x15u7

jlpjlp · Answer

non je voulais un rapport de suppression avec usbfix et non de recherche 

puis expliques tes problèmes actuels

foo · Answer

bonjour, c'est clovis. Desolé pour le silence, c'est du au fait que je n'arrive pas à avoir un rapport de suppression avec usbfix. En fait, quand j'exécute usbfix et que je coche le bouton suppression, la barre de chargement commence à progresser jusqu'à 14% puis se plante. J'ai eteint la machine puis repris mais toujours pareil, que faire?

jlpjlp · Answer

tente de le passer en mode sans echec

clovis · Answer

svp plait comment proceder pour le passer en mode sans echec?

jlpjlp · Answer

tu cliques sur le lien en bleu   mode sans echec   de ce message ou du précédent

clovis · Answer

bonjour, j'ai suivi à la lettre le mode sans echec, sauf que quand j'y suis, je n'arrive plus à exécuter usbfix sur mon pc. j'ai ce message qui s'affiche:
"usbfix.exe variable can't be used without declared" ce qui fait que je ne peux donc pas effectuer de suppression avec usbfix alors que tous mes periphériques externes sont branchés(cle usb 16 giga et disque dur externe de 1 tera).
que dois je faire à présent!
merci!

jlpjlp · Answer

appuye sur usbfix avec le bouton droit et choisis de l'executer en tant qu'administrateur puis choisis l'option de supression 


puis 

 Télécharge SEAF (de C_XX) sur ton Bureau : http://general-changelog-team.fr/fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf
? Lance SEAF . 
? Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre". 
? Tape r00t3r dans le champs de recherche, clique sur "Lancer la recherche" et patiente. 

tutoriel ici: http://www.forum-entraide-informatique.com/support/seaf-tutoriel-t23.html

clovis · Answer

ok ca marche, je vous envoie à présent le rapport de la recherche effectuée avec seaf 
nb: j'ai connecté mes disques externes pour faire la recherche.

voici le rapport:

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 20:19:17 le 06/04/2013
4. 
5. Valeur(s) recherchée(s):
6. r00t3r
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. Aucun fichier trouvé
17. 
18. 
19. ====== Entrée(s) du registre ======
20. 
21. 
22. [HKU\S-1-5-21-266005165-736059600-2494018927-1000\Software\DownloadManager\789]
23. "Cookie"="1ae5372fdfe582f44be003b122e910a8=8s7to7n7e9ss3tdj43sfmh8v31; 1e09b275d57b2c6e24b480420c18498c=fr-FR; _pk_ref.1.73fe=%5B%22%22%2C%22%22%2C1365279212%2C%22http%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-27470891-fichier-c-kernel-r00t3r%3Fpage%3D2%22%5D; _pk_id.1.73fe=d185443a13952556.1365279212.1.1365279212.1365279212.; _pk_ses.1.73fe=*; pus-idv=A0018e2a268299104e2587ddfd5943bfdaf3" (REG_SZ)
24. 
25. [HKU\S-1-5-21-266005165-736059600-2494018927-1000\Software\DownloadManager\789]
26. "U0_c"="1ae5372fdfe582f44be003b122e910a8=8s7to7n7e9ss3tdj43sfmh8v31; 1e09b275d57b2c6e24b480420c18498c=fr-FR; _pk_ref.1.73fe=%5B%22%22%2C%22%22%2C1365279212%2C%22http%3A%2F%2Fwww.commentcamarche.net%2Fforum%2Faffich-27470891-fichier-c-kernel-r00t3r%3Fpage%3D2%22%5D; _pk_id.1.73fe=d185443a13952556.1365279212.1.1365279212.1365279212.; _pk_ses.1.73fe=*; pus-idv=A0018e2a268299104e2587ddfd5943bfdaf3" (REG_SZ)
27. 
28. =========================
29. 
30. Fin à: 20:25:42 le 06/04/2013
31. 607814 Éléments analysés
32. 
33. =========================
34. E.O.F

jlpjlp · Answer

colle un rapport de recherche avec roguekiller

clovis · Answer

ok, voici le rapport: RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur : COULIBALY [Droits d'admin] Mode : Recherche -- Date : 07/04/2013 23:00:46 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 11 ¤¤¤ [RUN][SUSP PATH] HKLM\[...]\Policies\Explorer\Run : rescue ("C:\ProgramData\rescue.vbe") [-] -> TROUVÉ [Services][HJNAME] HKLM\[...]\ControlSet002\Services\system (C:\Windows\System32\system\svchost.exe msg) [-] -> TROUVÉ [Services][HJNAME] HKLM\[...]\ControlSet003\Services\system (C:\Windows\System32\system\svchost.exe msg) [-] -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.27.255.100:8181) -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ [HJPOL] HKCU\[...]\System : disabletaskmgr (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA ST9320325AS SCSI Disk Device +++++ --- User --- [MBR] 61c001aca5585b781878c2dff63cb03e [BSP] 52cd81a46fc5640c2c74fb3cbdc49aa4 : Linux MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 99 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 118462 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 242819072 | Size: 155959 Mo 3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 562223104 | Size: 30722 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_07042013_230046.txt >> RKreport[1]_S_07042013_230046.txt

jlpjlp · Answer

colle un rapport de suppresson avec roguekiller, (supprime tout ce qui est trouvé) puis redemarre ton pc et dis nous si cela persiste
et remets un rapport de recherche avec usbfix

clovis · Answer

ok, voici le rapport de suppression demandé: RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur : COULIBALY [Droits d'admin] Mode : Suppression -- Date : 08/04/2013 12:31:23 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.27.255.100:8181) -> NON SUPPRIMÉ, UTILISER PROXY RAZ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NON SUPPRIMÉ, UTILISER PROXY RAZ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA ST9320325AS SCSI Disk Device +++++ --- User --- [MBR] 61c001aca5585b781878c2dff63cb03e [BSP] 52cd81a46fc5640c2c74fb3cbdc49aa4 : Linux MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 99 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 118462 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 242819072 | Size: 155959 Mo 3 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 562223104 | Size: 30722 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_08042013_123123.txt >> RKreport[1]_S_08042013_113258.txt ; RKreport[2]_D_08042013_123123.txt après redemarrage de mon ordinateur, la fenêtre d'erreur "impossible de trouver le fichier c:\kernel\r00t3r" ne s'affiche plus. j'ose croire que le problème est résolu mais je vais vous envoyer tout à l'heure le rapport de recherche avec usbfix (pour ma clé usb et mon disque dur externe) que vous m'avez demandé... nb: il faut noter que hier déjà, après une première analyse et suppression avec roguekiller, le problème ne se posait plus!! MERCI ENCORE!

Fichier c:\kernel\r00t3r

45 réponses

Discussions similaires

Newsletters