Virus Win32:Qandr [Rtk] sur le pc
Résolu/Fermé
Maverick
-
30 juin 2010 à 00:23
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 1 juil. 2010 à 03:41
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 1 juil. 2010 à 03:41
A voir également:
- Virus Win32:Qandr [Rtk] sur le pc
- Svchost.exe virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Win32:bogent - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
45 réponses
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
30 juin 2010 à 02:47
30 juin 2010 à 02:47
Salut Maverick
Faire un clic droit sur ce lien :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...
- Choisi le bureau comme lieu d'enregistrement
- Donne lui ce nom bibite.exe clique sur Enregistrer
Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==
Double clique sur bibite.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
Faire un clic droit sur ce lien :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Pour Internet Explorer
- Choisi Enregistrer la cible sous ...
Pour Firefox
- Choisi Enregistrer la cible du lien sous...
- Choisi le bureau comme lieu d'enregistrement
- Donne lui ce nom bibite.exe clique sur Enregistrer
Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==
Double clique sur bibite.exe, clique sur OUI et valide par Entrée
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure
@++ :)
dédétraqué
Messages postés
4384
Date d'inscription
vendredi 5 septembre 2008
Statut
Contributeur sécurité
Dernière intervention
4 février 2013
286
30 juin 2010 à 12:58
30 juin 2010 à 12:58
Salut Maverick
Vérifier si l'infection t'a pas installer un Proxy :
Pour Internet Exlporer, dans le haut clique sur Outils/Options Internet, clique sur l'onglet Connexions/Paramètres réseau et voir a décoché la case Serveur proxy.
Pour Firefox :
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres, coche Pas de proxy.
Sinon voir a mettre Combofix sur un clé Usb pour le mettre sur le PC malade...
@++ :)
Vérifier si l'infection t'a pas installer un Proxy :
Pour Internet Exlporer, dans le haut clique sur Outils/Options Internet, clique sur l'onglet Connexions/Paramètres réseau et voir a décoché la case Serveur proxy.
Pour Firefox :
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres, coche Pas de proxy.
Sinon voir a mettre Combofix sur un clé Usb pour le mettre sur le PC malade...
@++ :)
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
Modifié par Xplode le 30/06/2010 à 19:58
Modifié par Xplode le 30/06/2010 à 19:58
Re,
Assez coriace la bestiole ;)
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour Maverick /!\
[x] Copie le texte en gras ci dessous :
Killall::
Snapshot::
File::
c:\windows\system32\drivers\zozmri.sys
Driver::
zozmri
NetSvc::
{EE9A28C8-9DA8-45C6-AF1C874EA097A484}
{E53B9382-5FFE-4C0F-9EF71363283761D6}
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"lcbghgldgvshvxeoycmgTaskMgr"=-
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Xplode - Contributeur sécurité.
Assez coriace la bestiole ;)
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour Maverick /!\
[x] Copie le texte en gras ci dessous :
Killall::
Snapshot::
File::
c:\windows\system32\drivers\zozmri.sys
Driver::
zozmri
NetSvc::
{EE9A28C8-9DA8-45C6-AF1C874EA097A484}
{E53B9382-5FFE-4C0F-9EF71363283761D6}
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"lcbghgldgvshvxeoycmgTaskMgr"=-
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Xplode - Contributeur sécurité.
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 00:26
30 juin 2010 à 00:26
pose un rapport hijackthis
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour la réponse rapide :) .
J'ai le rapport, faut-il être membre pour pouvoir joindre des fichiers ??
J'ai le rapport, faut-il être membre pour pouvoir joindre des fichiers ??
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 00:38
30 juin 2010 à 00:38
tu le post la : http://www.cijoint.fr/ et tu donne l'adresse du post
Le fichier donné est un .log je n'arrive pas à l'host sur cijoint.fr , j'ai peut être raté quelque chose sur Hijackthis, je ne connais pas ce programme.
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 00:49
30 juin 2010 à 00:49
sur le site tu fais parcourir et tu va chercher le log et tu va surcliquer ici pour deposer le fichier ensuite il va te mettre le fichier ....*.log et été deposer avec succes
Problème :o je vais bien chercher mon .log dans parcourir, mais quand je clique sur "déposer le fichier" il me marque vous n'avez pas choisi de fichier, et dans la liste des formats acceptés le .log n'y figure pas.
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
Modifié par spode_90 le 30/06/2010 à 01:01
Modifié par spode_90 le 30/06/2010 à 01:01
enregistre le log en *.txt ou copie et colle sur le prochaine post
C'est bon, c'est passé en .txt en modifiant le nom du scan : http://www.cijoint.fr/cjlink.php?file=cj201006/cijDNoX4iZ.txt
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
Modifié par spode_90 le 30/06/2010 à 01:14
Modifié par spode_90 le 30/06/2010 à 01:14
Ca c'est bizarre
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'Default user')
Fais Demarrer tape regedit tu vas la HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run et supprime ces entrées
tu nettoye avec ccleaner les applications et le registre
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'Default user')
Fais Demarrer tape regedit tu vas la HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run et supprime ces entrées
tu nettoye avec ccleaner les applications et le registre
J'ai pu supprimer celui qui se nommait svchost.exe (en donnée il me semble), mais il y en a un autre dans ce dossier nommé (par défaut) de type REG_SZ avec une valeur non définie qui n'est pas supprimable
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 01:18
30 juin 2010 à 01:18
normal donne un coup de ccleaner
C'est fait, j'ai fait deux fois Nettoyer comme je l'avais fait précédemment (je ne connais pas ce programme non plus j'ai suivi juste des instructions). Il ne semble rien y avoir d'anormal.
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 01:22
30 juin 2010 à 01:22
tu redemarre et ca dois etre bon dis moi si c le cas
J'ai reboot, mais le fichier infecté zozmri.sys est toujours présent dans le dossier C:/Windows/System32/driver . Sa date de modification affichée s'ajuste à la minute actuelle a chaque changement, je sais pas si sa peut aider.
J'ai également eu deux reboots livebox au moment du redémarrage, j'espère que ce n'est pas non plus lié.
J'ai également eu deux reboots livebox au moment du redémarrage, j'espère que ce n'est pas non plus lié.
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 01:39
30 juin 2010 à 01:39
Fais une analyse en mode sans echec avec ton anti virus
Je dois faire ça comment ? J'ai Avast pour antivirus, quand le pc a été éteint correctement le lancer en mode sans échec je ne sais pas faire :/
spode_90
Messages postés
230
Date d'inscription
lundi 30 novembre 2009
Statut
Membre
Dernière intervention
28 août 2012
29
30 juin 2010 à 01:49
30 juin 2010 à 01:49
Démarrer en mode sans échec avec Windows XP et Vista
N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows XP ou Vista) installé sur votre ordinateur.
* 1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.
* 2/ À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.
* 3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
N'utilisez cette méthode (avec la touche F8) que si vous avez un seul système d'exploitation (Windows XP ou Vista) installé sur votre ordinateur.
* 1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.
* 2/ À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.
* 3/ En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
Le probleme est serieux ... J ai fait ceci, j ai demarré en mode sans echec, j ai demandé un scan Avast du dossier System32, il ma decouvert 2 virus, dont le zozmri.sys, la zone de quarantaine n etait pas disponible, j ai donc demandé une suppression de ces fichiers, une fois le scan terminé, j ai reboot, j ai constaté que non seulement le fichier zozmri.sys etait encore présent, et ma carte reseau a planté, je n arrive plus a me connecter a internet ... J ecris ici de mon Iphone. Je ne peux pas bien suivre les reponses d ici, il me faut attendre demain pour regarder a partir d jn autre pc dans la maison d un autre pc les differentes actions que je peux entreprendre.. j espere que je finirai par me tirer de ce probleme >.<