Sujet Précédent Sujet Suivant

HELP !!! Infection - Win32:Qandr [Rtk] -

Fermé
Elimie Messages postés 3 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2010 - 17 avril 2010 à 15:31
 Utilisateur anonyme - 18 avril 2010 à 19:43
Bonjour à tous !

d'avance merci pour votre aide car je vous avais déjà contacté il y a quelques années maintenant et vous m'aviez donné un sacré coup de main !

Je suis infectée semble-t-il depuis quelques minutes par un virus intitulé : Win32:Qandr [Rtk]

J'ai fait Spybot et avast mais ils ne me détectent rien et j'ai déjà mis en quarantaine une 20aine de "fichiers".
Avast me dit maintenant : "Impossible de traiter le fichier C:Windows\System32\driver\tdpipe.sys"
Lorsque je clique sur Ok une nouvelle fenetre avast alerte virus apparait.... et ceci en boucle.... le seul moyen est de ne pas cliquer sur Ok...

Au secours !

Pourriez-vous m'aider pas à pas ? (je suis pas super douée....)

Merci d'avance !

Elimie


32 réponses

Précédent
  • 1
  • 2
Réponse 21 / 32
Elimie
18 avril 2010 à 11:27
Raté....

suis à nouveau en mode sans échec

Voilà ce qui se passe en mode normal :

- Ouverture d'une fenêtre "Windows Genuine Advantage" au démarrage (elle était là avant infection mais ne posait pas de problème avant. Elle est apparue lors du dernier formatage du PC

Lors de l'ouverture de windows, la barre des tâches est déjà occupée et inaccessible (sablier)

- Tentative de CTRL+ALT+SUPP pour supprimer windows genuine advantage qui une fois fermé reste dans la barre des taches qui est tjs occupée => Rien

- Démarrage mozilla
- Requête cmt ca marche ds google
- Début chargement de la page il me dit "transfert de données depuis ak.bluestreak.com"
- Planté, plus rien, la page ne charge plus
- Pas fermeture de la fenetre avec la croix
- Clic sur le tiret ferme la fenetre (??)
- Plus accès à rien sur le bureau
- Perte totale de la main
- Arrêt sauvage
- Mode sans échec et me voilà de nouveau !!!

Arf.... ca vient d'où ??? Il se passe quoi ???

Merci encore pour ton aide !

Elimie
0
Réponse 22 / 32
Utilisateur anonyme
18 avril 2010 à 11:48
Re

En mode sans échec avec prise en charge réseau:

1)Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt" pour ouvrir le programme.
Puis copies ce qui se trouve en gras
ci-dessous:


:Processes

:Services


:Reg

:Files
c:\windows\Tasks\WGASetup.job

:Commands
[purity]
[emptytemp]



et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for Items to be Moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

(Note : ton bureau va disparaître puis réapparaître, c'est normal.)

-> Une fois finis, un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...
-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"



2)* Télécharge Ad-remover ( de C_XX ) sur ton bureau :

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours !

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option "Nettoyer"
et sur [entrée] .

* Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche): http://pagesperso-orange.fr/NosTools/tuto_adr_2.html

3)Réinitialiser les paramètres par défaut FireFox.
Outils>>Options>>>Onglet général>>>Bouton "restaurer la configuration par défaut"

Poste moi les rapports au fur et à mesure;merci
@+

0
Réponse 23 / 32
Elimie
18 avril 2010 à 12:24
Rapport OTM :

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
c:\windows\Tasks\WGASetup.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: USER
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 327706 bytes
->FireFox cache emptied: 36082986 bytes
->Flash cache emptied: 7407 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 4928000 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 42.00 mb


OTM by OldTimer - Version 3.1.10.2 log created on 04182010_121849

Je fais la suite !

Merci !

A tout de suite !

Elimie
0
Réponse 24 / 32
Elimie
18 avril 2010 à 12:36
Voici le second rapport :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 12:26:35 le 18/04/2010 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: HOME-8A984254CB | Utilisateur actuel: USER (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\USER\..\yzee1wkq.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\USER\\Bureau
C:\Documents and Settings\USER\..\yzee1wkq.default\prefs.js - browser.startup.homepage: hxxp://google.fr/
C:\Documents and Settings\USER\..\yzee1wkq.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
Temporary Internet Files: 2 Fichier(s), 5 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2355 Octet(s)
.
Fin à: 12:28:25, 18/04/2010
.
============== E.O.F - CLEAN[1] ==============

Je rétablis Mozilla et je tente redémarrage en mode normal

Je te tiens au courant

A tout de suite

Elimie
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 32
Elimie
18 avril 2010 à 12:50
Redémarrage normal planté au bout de quelques minutes mais disparition de la fenetre windows genuine advantage (amélioration ?)... on avance... petit à petit

Par contre barre des taches tjs occupée lors de l'ouverture de windows en mode sans échec et plantage mozilla au bout de quelques clics

A tout de suite pour la suite !

Merci encore pour ton aide pas à pas

Elimie
0
Réponse 26 / 32
Utilisateur anonyme
18 avril 2010 à 13:11
Re

Qu'entends tu par:
Par contre barre des taches tjs occupée lors de l'ouverture de windows en mode sans échec ?

Toujours en MSE fait ceci:

Télécharge le programme : Gmer à cette adresse http://www.gmer.net/ clique sur le bouton Download Exe.
Le fichier aura un nom aléatoire.

Déconnecte toi d'Internet si possible et ferme tous les programmes.
Double-clic sur l'exécutable pour le lancer
IMPORTANT: Si une alerte de ton antivirus apparaît, laisse le s'exécuter.
Clic sur l'onglet "rootkit"
A droite, décoche "Registry"
Clic sur Scan
Lorsque le scan est terminé, clic sur "copy"

Ouvre le bloc-notes et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

@+

0
Réponse 27 / 32
Elimie
18 avril 2010 à 14:34
Le lien de téléchargement ne fonctionne pas

"404 not found", je suis bloquée

J'entends par:
Par contre barre des taches tjs occupée lors de l'ouverture de windows en mode sans échec
que dès que je passe dessus avec la souris, il y a le sablier et je ne peux cliquer sur rien ni démarrer ni les icones actives à droite, rien du tout...
0
Réponse 28 / 32
Utilisateur anonyme
18 avril 2010 à 14:43
Re

La virgule à la fin en trop ;o))
http://www.gmer.net/

@+
0
Réponse 29 / 32
Elimie
18 avril 2010 à 15:36
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 15:19:34
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\USER\LOCALS~1\Temp\pxpdqpoc.sys


---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[1872] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 15:35:25
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\USER\LOCALS~1\Temp\pxpdqpoc.sys


---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[1872] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

Je crois que je vais faire une restauration à la date de vendredi...
Non ?

A tout de suite

Elimie
0
Réponse 30 / 32
Utilisateur anonyme
18 avril 2010 à 16:04
Re

1er constat qui pourrait expliquer ce lag au démarrage:Total RAM: 511.3 MB (9% free)
512 de RAM est un peu juste pour XP et il ne reste que 9% peut être moins maintenant.

Commençons par arrêter un bon nombre de programmes en démarrage automatique;pour cela :

> Lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) .

* Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous (et rien d'autre !) :

O4 - HKLM\..\Run: [NeroCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: monxga32.exe . (.Pas de propriétaire - Pas de description.) -- C:\Documents And Settings\USER\Menu Démarrer\Programmes\Démarrage\monxga32.exe
O4 - Global Startup: Notification de cadeaux MSN.lnk . (.Microsoft Corporation - Notification de cadeaux MSN.) -- C:\Documents and Settings\USER\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe





Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK] .
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [ Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Pense à réactiver tes défenses !...


Tiens moi au courant
@+
0
Réponse 31 / 32
Elimie
18 avril 2010 à 19:39
Hello !

j'ai fait ce que j'ai pu sur le PC familial mais je ne pouvais pas rester...

Ils vont formater je pense...

Merci pour ton aide

A une prochaine
0
Réponse 32 / 32
Utilisateur anonyme
18 avril 2010 à 19:43
Re

Post résolu;alors?
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses