Virus Win32:Qandr [Rtk] sur le pc
Résolu
Maverick
-
dédétraqué Messages postés 4384 Date d'inscription Statut Contributeur sécurité Dernière intervention -
dédétraqué Messages postés 4384 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Il y a deux semaines, en cherchant à regarder un match de basket sur un tv américaine, j'ai eu une série de bugs qui m'ont obligé à reboot mon pc, et en rebootant j'ai eu la désagréable surprise d'y trouver ce RootKit.
Etant très négligeant avec la sécurité de mon PC avant ça, je n'avais pas mis Avast à jour depuis février, et donc sanction ...
En premier lieu mes paramètres Proxy de Firefox et IE ont été activés et ne me permettaient plus d'accéder aux pages internet, chose que j'ai réglé en les resupprimant.
En mettant Avast à jour hier soir il m'a donc découvert ce virus (Win32:Qandr [Rtk]) et, depuis ce moment, j'essaie en vain de le supprimer.
J'ai commencé par Malwarebytes, qui m'a trouvé une quantité astronomique de Trojans et Cie, aujourd'hui en quarantaine ... Mais il me détecte toujours ce virus sous le nom de zozmri.sys dans le Systeme32 en tant que RootKit.Agent .
J'ai essayé un scan CCleaner, sans succès également.
Enfin j'ai tenté Killbox, dont un composant essentiel était supprimé, sans doute par le Malware, que j'ai réinstallé afin de pouvoir le Run, lui même sans succès.
En quelque sorte, Malwarebytes et Killbox confirment la suppression du fichier, mais j'ai l'impression qu'il se remet dès le reboot du PC.
Voilà, j'ai effectué toutes ces procédures sur les conseils d'un pote sur skype car je suis un total novice en matière de sécurité PC. Si quelqu'un ici a une solution miracle je suis preneur, car d'après ce que m'a dit ce même ami, un RootKit est très dangereux pour le PC donc j'aimerai assez le faire disparaitre ^^ .
Merci d'avance.
Maverick
A voir également:
- Virus Win32:Qandr [Rtk] sur le pc
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
45 réponses
Salut Maverick
Faire un clic droit sur ce lien :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...
- Choisi le bureau comme lieu d'enregistrement
- Donne lui ce nom bibite.exe clique sur Enregistrer
Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==
Double clique sur bibite.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
Faire un clic droit sur ce lien :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...
- Choisi le bureau comme lieu d'enregistrement
- Donne lui ce nom bibite.exe clique sur Enregistrer
Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==
Double clique sur bibite.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
Salut Maverick
Vérifier si l'infection t'a pas installer un Proxy :
Pour Internet Exlporer, dans le haut clique sur Outils/Options Internet, clique sur l'onglet Connexions/Paramètres réseau et voir a décoché la case Serveur proxy.
Pour Firefox :
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres, coche Pas de proxy.
Sinon voir a mettre Combofix sur un clé Usb pour le mettre sur le PC malade...
@++ :)
Vérifier si l'infection t'a pas installer un Proxy :
Pour Internet Exlporer, dans le haut clique sur Outils/Options Internet, clique sur l'onglet Connexions/Paramètres réseau et voir a décoché la case Serveur proxy.
Pour Firefox :
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres, coche Pas de proxy.
Sinon voir a mettre Combofix sur un clé Usb pour le mettre sur le PC malade...
@++ :)
Re,
Assez coriace la bestiole ;)
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour Maverick /!\
[x] Copie le texte en gras ci dessous :
Killall::
Snapshot::
File::
c:\windows\system32\drivers\zozmri.sys
Driver::
zozmri
NetSvc::
{EE9A28C8-9DA8-45C6-AF1C874EA097A484}
{E53B9382-5FFE-4C0F-9EF71363283761D6}
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"lcbghgldgvshvxeoycmgTaskMgr"=-
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Xplode - Contributeur sécurité.
Assez coriace la bestiole ;)
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour Maverick /!\
[x] Copie le texte en gras ci dessous :
Killall::
Snapshot::
File::
c:\windows\system32\drivers\zozmri.sys
Driver::
zozmri
NetSvc::
{EE9A28C8-9DA8-45C6-AF1C874EA097A484}
{E53B9382-5FFE-4C0F-9EF71363283761D6}
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"lcbghgldgvshvxeoycmgTaskMgr"=-
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Xplode - Contributeur sécurité.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour la réponse rapide :) .
J'ai le rapport, faut-il être membre pour pouvoir joindre des fichiers ??
J'ai le rapport, faut-il être membre pour pouvoir joindre des fichiers ??
Le fichier donné est un .log je n'arrive pas à l'host sur cijoint.fr , j'ai peut être raté quelque chose sur Hijackthis, je ne connais pas ce programme.
sur le site tu fais parcourir et tu va chercher le log et tu va surcliquer ici pour deposer le fichier ensuite il va te mettre le fichier ....*.log et été deposer avec succes
Problème :o je vais bien chercher mon .log dans parcourir, mais quand je clique sur "déposer le fichier" il me marque vous n'avez pas choisi de fichier, et dans la liste des formats acceptés le .log n'y figure pas.
C'est bon, c'est passé en .txt en modifiant le nom du scan : http://www.cijoint.fr/cjlink.php?file=cj201006/cijDNoX4iZ.txt
Ca c'est bizarre
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'Default user')
Fais Demarrer tape regedit tu vas la HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run et supprime ces entrées
tu nettoye avec ccleaner les applications et le registre
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'Default user')
Fais Demarrer tape regedit tu vas la HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run et supprime ces entrées
tu nettoye avec ccleaner les applications et le registre
J'ai pu supprimer celui qui se nommait svchost.exe (en donnée il me semble), mais il y en a un autre dans ce dossier nommé (par défaut) de type REG_SZ avec une valeur non définie qui n'est pas supprimable
C'est fait, j'ai fait deux fois Nettoyer comme je l'avais fait précédemment (je ne connais pas ce programme non plus j'ai suivi juste des instructions). Il ne semble rien y avoir d'anormal.
J'ai reboot, mais le fichier infecté zozmri.sys est toujours présent dans le dossier C:/Windows/System32/driver . Sa date de modification affichée s'ajuste à la minute actuelle a chaque changement, je sais pas si sa peut aider.
J'ai également eu deux reboots livebox au moment du redémarrage, j'espère que ce n'est pas non plus lié.
J'ai également eu deux reboots livebox au moment du redémarrage, j'espère que ce n'est pas non plus lié.
Je dois faire ça comment ? J'ai Avast pour antivirus, quand le pc a été éteint correctement le lancer en mode sans échec je ne sais pas faire :/
Démarrer en mode sans échec avec Windows XP et Vista
N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows XP ou Vista) installé sur votre ordinateur.
* 1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.
* 2/ À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.
* 3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows XP ou Vista) installé sur votre ordinateur.
* 1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.
* 2/ À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.
* 3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
Le probleme est serieux ... J ai fait ceci, j ai demarré en mode sans echec, j ai demandé un scan Avast du dossier System32, il ma decouvert 2 virus, dont le zozmri.sys, la zone de quarantaine n etait pas disponible, j ai donc demandé une suppression de ces fichiers, une fois le scan terminé, j ai reboot, j ai constaté que non seulement le fichier zozmri.sys etait encore présent, et ma carte reseau a planté, je n arrive plus a me connecter a internet ... J ecris ici de mon Iphone. Je ne peux pas bien suivre les reponses d ici, il me faut attendre demain pour regarder a partir d jn autre pc dans la maison d un autre pc les differentes actions que je peux entreprendre.. j espere que je finirai par me tirer de ce probleme >.<
