Infecté par Win32.Qandr [Rtk] !
Résolu
sacha_91
Messages postés
18
Date d'inscription
Statut
Membre
Dernière intervention
-
NicoVA Messages postés 1058 Date d'inscription Statut Contributeur sécurité Dernière intervention -
NicoVA Messages postés 1058 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai récemment eu une alerte d'avast qui me signalait un Rootkit (cité dans le titre). Je l'ai mis en quarantaine. Et chaque jour, j'ai une ou deux annonces d'Avast sur ce même Rtk. Aidez moi svp à le supprimer ! Merci d'avance.
J'ai récemment eu une alerte d'avast qui me signalait un Rootkit (cité dans le titre). Je l'ai mis en quarantaine. Et chaque jour, j'ai une ou deux annonces d'Avast sur ce même Rtk. Aidez moi svp à le supprimer ! Merci d'avance.
A voir également:
- Infecté par Win32.Qandr [Rtk] !
- Puabundler win32 candyopen - Forum Virus
- Win32:miscx-gen ✓ - Forum Linux / Unix
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- Trojan win32 - Forum Virus
22 réponses
Salut !
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Télécharge le fichier suivant sur ton bureau et pas ailleurs !
CFScript.txt
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
-> Héberge le fichier sur up.sur-la-toile et poste le lien
@+
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Télécharge le fichier suivant sur ton bureau et pas ailleurs !
CFScript.txt
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
-> Héberge le fichier sur up.sur-la-toile et poste le lien
@+
Salut
Pourrais tu poster le chemin d'accès du rootkit ?
-> exemple : C:\windows\system32\rootkit.exe
++
Pourrais tu poster le chemin d'accès du rootkit ?
-> exemple : C:\windows\system32\rootkit.exe
++
C:\WINDOWS\System32\Drivers\lryqidsi.sys
J'ai aussi essayé de lancer ZHPDiag mais dès que j'appuie sur la loupe, Avast se met à me trouver des Dropper-gen de partout ! J'avais tout supprimé avec MBAM mais j'en ai à chaque fois des nouveaux !
J'ai aussi essayé de lancer ZHPDiag mais dès que j'appuie sur la loupe, Avast se met à me trouver des Dropper-gen de partout ! J'avais tout supprimé avec MBAM mais j'en ai à chaque fois des nouveaux !
Ok,
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
@+
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'en ai marre !! Avast me signale à chaque fois un nouveau virus ! Meme après Combofix ! Ex : C:\Documents and Settings\All Users\Application Data\yJkNpwbd.exe, c'est un malware . Puis des Dropper-gen aussi :'(
Salut
Pourrais tu me mettre le rapport de ComboFix sur http://www.cijoint.fr/ stp et me fournir le lien ? Sinon il y a des choses que je ne peux pas bien voir dans le rapport :) Après on supprimera des éléments néfastes.
@++
Pourrais tu me mettre le rapport de ComboFix sur http://www.cijoint.fr/ stp et me fournir le lien ? Sinon il y a des choses que je ne peux pas bien voir dans le rapport :) Après on supprimera des éléments néfastes.
@++
http://www.cijoint.fr/cjlink.php?file=cj201007/cijygYJhGE.txt
Salut
Il semblerait que sa bug chez cijoint. Tu peux faire pareil mais à cette adresse ? https://www.luanagames.com/index.fr.html
++
Il semblerait que sa bug chez cijoint. Tu peux faire pareil mais à cette adresse ? https://www.luanagames.com/index.fr.html
++
Impossible d'ouvrir mon navigateur internet. Ma connexion est pourtant activée ! C'est depuis que j'ai glissé CFScript sur Combofix.
J'ai réussi à transférer le rapport par clé USB sur un autre ordi ! Je te le transmets.
[url=https://www.luanagames.com/index.fr.html]log2.txt[/url]
[url=https://www.luanagames.com/index.fr.html]log2.txt[/url]
Salut
--> Désinstalle QuickTime puis ré-installe le ici
--> Peux tu me refaire un ZHPdiag et le mettre sur up-sur-la-toile ( comme le rapport Combofix )
@++
--> Désinstalle QuickTime puis ré-installe le ici
--> Peux tu me refaire un ZHPdiag et le mettre sur up-sur-la-toile ( comme le rapport Combofix )
@++
Salut
Il y a présence d'un rootkit TDSS sur ton ordi, pour le supprimer :
--> télécharge sur ton bureau TDSSkiller.zip , de zippe le et exécute le , un rapport sera crée ici:
* C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu
--> tu as aussi directement l'exécutable là : http://support.kaspersky.com/downloads/ ... killer.exe
--> si TDSSKiller fait apparaître ce message:
Hidden service detected: nom du service caché:
Type "delete" (without quotes) to delete it: 14:30:08:000 0256
--> tape delete et valide par la touche Enter.
@++
Il y a présence d'un rootkit TDSS sur ton ordi, pour le supprimer :
--> télécharge sur ton bureau TDSSkiller.zip , de zippe le et exécute le , un rapport sera crée ici:
* C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu
--> tu as aussi directement l'exécutable là : http://support.kaspersky.com/downloads/ ... killer.exe
--> si TDSSKiller fait apparaître ce message:
Hidden service detected: nom du service caché:
Type "delete" (without quotes) to delete it: 14:30:08:000 0256
--> tape delete et valide par la touche Enter.
@++
Le problème c'est que je ne peux de nouveau pas accéder à mon navigateur. Il se charge à moitié puis il se bloque comme la dernière fois pourtant quand j'avais réinstaller Quicktime il fonctionnait mais la non.
Par clé USB !
[url=https://www.luanagames.com/index.fr.html]TDSSKiller.2.3.2.2_07.07.2010_13.05.37_log.txt[/url]
[url=https://www.luanagames.com/index.fr.html]TDSSKiller.2.3.2.2_07.07.2010_13.05.37_log.txt[/url]
Salut,
-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur
-> Clique sur le H bleu ( "coller les lignes Helper" )
-> Copie ceci
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
-> Colle le dans ZHPfix
-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]
-> copie et colle le rapport de ZHPfix
========================================================
Quel est ton navigateur ?
@++
-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur
-> Clique sur le H bleu ( "coller les lignes Helper" )
-> Copie ceci
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
-> Colle le dans ZHPfix
-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]
-> copie et colle le rapport de ZHPfix
========================================================
Quel est ton navigateur ?
@++
J'ai essayé avec Internet Explorer, il se charge puis se bloque aussi !
J'AI REUSSI mais ça n'a marché que 5 minutes après le nav s'est rebloqué ! J'ai ouvert directement au démarrage de ma session QuickTime puis j'ai ouvert internet et ça a fonctionné je te fais passer le rapoort ZHPFix !
Rapport de ZHPFix v1.12.3114 par Nicolas Coolman, Update du 04/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-07-07-2010-19-20-39.txt
Run by Compaq_Propriétaire at 07/07/2010 19:20:39
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Récapitulatif ==========
2 : Valeur du Registre
End of the scan
Rapport de ZHPFix v1.12.3114 par Nicolas Coolman, Update du 04/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-07-07-2010-19-20-39.txt
Run by Compaq_Propriétaire at 07/07/2010 19:20:39
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Récapitulatif ==========
2 : Valeur du Registre
End of the scan
Salut
Pour supprimer QuickTime essaye avec Revo Uninstalleur puis désintalle QuickTime
Tiens moi au jus!
@++
Pour supprimer QuickTime essaye avec Revo Uninstalleur puis désintalle QuickTime
Tiens moi au jus!
@++