Virus Win32:Qandr [Rtk] sur le pc [Résolu/Fermé]

Signaler
-
Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
-


Bonjour,

Il y a deux semaines, en cherchant à regarder un match de basket sur un tv américaine, j'ai eu une série de bugs qui m'ont obligé à reboot mon pc, et en rebootant j'ai eu la désagréable surprise d'y trouver ce RootKit.
Etant très négligeant avec la sécurité de mon PC avant ça, je n'avais pas mis Avast à jour depuis février, et donc sanction ...

En premier lieu mes paramètres Proxy de Firefox et IE ont été activés et ne me permettaient plus d'accéder aux pages internet, chose que j'ai réglé en les resupprimant.

En mettant Avast à jour hier soir il m'a donc découvert ce virus (Win32:Qandr [Rtk]) et, depuis ce moment, j'essaie en vain de le supprimer.

J'ai commencé par Malwarebytes, qui m'a trouvé une quantité astronomique de Trojans et Cie, aujourd'hui en quarantaine ... Mais il me détecte toujours ce virus sous le nom de zozmri.sys dans le Systeme32 en tant que RootKit.Agent .

J'ai essayé un scan CCleaner, sans succès également.

Enfin j'ai tenté Killbox, dont un composant essentiel était supprimé, sans doute par le Malware, que j'ai réinstallé afin de pouvoir le Run, lui même sans succès.

En quelque sorte, Malwarebytes et Killbox confirment la suppression du fichier, mais j'ai l'impression qu'il se remet dès le reboot du PC.

Voilà, j'ai effectué toutes ces procédures sur les conseils d'un pote sur skype car je suis un total novice en matière de sécurité PC. Si quelqu'un ici a une solution miracle je suis preneur, car d'après ce que m'a dit ce même ami, un RootKit est très dangereux pour le PC donc j'aimerai assez le faire disparaitre ^^ .

Merci d'avance.

Maverick

45 réponses

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Maverick


Faire un clic droit sur ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom bibite.exe clique sur Enregistrer

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur bibite.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
4383
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
285
Salut Maverick


Vérifier si l'infection t'a pas installer un Proxy :
Pour Internet Exlporer, dans le haut clique sur Outils/Options Internet, clique sur l'onglet Connexions/Paramètres réseau et voir a décoché la case Serveur proxy.

Pour Firefox :
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres, coche Pas de proxy.


Sinon voir a mettre Combofix sur un clé Usb pour le mettre sur le PC malade...


@++ :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
721
Re,

Assez coriace la bestiole ;)

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour Maverick /!\

[x] Copie le texte en gras ci dessous :


Killall::
Snapshot::

File::

c:\windows\system32\drivers\zozmri.sys

Driver::

zozmri

NetSvc::

{EE9A28C8-9DA8-45C6-AF1C874EA097A484}
{E53B9382-5FFE-4C0F-9EF71363283761D6}

Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"lcbghgldgvshvxeoycmgTaskMgr"=-



[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Xplode - Contributeur sécurité.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
pose un rapport hijackthis
Merci pour la réponse rapide :) .

J'ai le rapport, faut-il être membre pour pouvoir joindre des fichiers ??
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
tu le post la : http://www.cijoint.fr/ et tu donne l'adresse du post
Le fichier donné est un .log je n'arrive pas à l'host sur cijoint.fr , j'ai peut être raté quelque chose sur Hijackthis, je ne connais pas ce programme.
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
sur le site tu fais parcourir et tu va chercher le log et tu va surcliquer ici pour deposer le fichier ensuite il va te mettre le fichier ....*.log et été deposer avec succes
Problème :o je vais bien chercher mon .log dans parcourir, mais quand je clique sur "déposer le fichier" il me marque vous n'avez pas choisi de fichier, et dans la liste des formats acceptés le .log n'y figure pas.
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
enregistre le log en *.txt ou copie et colle sur le prochaine post
C'est bon, c'est passé en .txt en modifiant le nom du scan : http://www.cijoint.fr/cjlink.php?file=cj201006/cijDNoX4iZ.txt
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
Ca c'est bizarre

O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'Default user')

Fais Demarrer tape regedit tu vas la HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run et supprime ces entrées

tu nettoye avec ccleaner les applications et le registre
J'ai pu supprimer celui qui se nommait svchost.exe (en donnée il me semble), mais il y en a un autre dans ce dossier nommé (par défaut) de type REG_SZ avec une valeur non définie qui n'est pas supprimable
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
normal donne un coup de ccleaner
C'est fait, j'ai fait deux fois Nettoyer comme je l'avais fait précédemment (je ne connais pas ce programme non plus j'ai suivi juste des instructions). Il ne semble rien y avoir d'anormal.
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
tu redemarre et ca dois etre bon dis moi si c le cas
J'ai reboot, mais le fichier infecté zozmri.sys est toujours présent dans le dossier C:/Windows/System32/driver . Sa date de modification affichée s'ajuste à la minute actuelle a chaque changement, je sais pas si sa peut aider.

J'ai également eu deux reboots livebox au moment du redémarrage, j'espère que ce n'est pas non plus lié.
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
Fais une analyse en mode sans echec avec ton anti virus
Je dois faire ça comment ? J'ai Avast pour antivirus, quand le pc a été éteint correctement le lancer en mode sans échec je ne sais pas faire :/
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
26
Démarrer en mode sans échec avec Windows XP et Vista

N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows XP ou Vista) installé sur votre ordinateur.

* 1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.
* 2/ À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.
* 3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
Le probleme est serieux ... J ai fait ceci, j ai demarré en mode sans echec, j ai demandé un scan Avast du dossier System32, il ma decouvert 2 virus, dont le zozmri.sys, la zone de quarantaine n etait pas disponible, j ai donc demandé une suppression de ces fichiers, une fois le scan terminé, j ai reboot, j ai constaté que non seulement le fichier zozmri.sys etait encore présent, et ma carte reseau a planté, je n arrive plus a me connecter a internet ... J ecris ici de mon Iphone. Je ne peux pas bien suivre les reponses d ici, il me faut attendre demain pour regarder a partir d jn autre pc dans la maison d un autre pc les differentes actions que je peux entreprendre.. j espere que je finirai par me tirer de ce probleme >.<