Virus Win32 Qandr [Rtk]

[invite78569d7c]

Bonjour,
En surfant sur le net, Avast m'a détecté des fichiers infectés par Qandr (fichiers que j'ai supprimé). Depuis, mon PC est plus lent, semble démarrer normalement, mais ne me laisse la main, que 15mn après le démarrage.
Croyant m'en sortir tout seul, j'ai utilisé combofix et malwarebytes avec précaution, mais les symptômes sont toujours là.
Alors je demande humblement de l'aide, et j'ai appliqué vos recommandations. Ci-joint les fichiers générés par RSIT.
En vous remerciant pour votre bienveillance
-----

[yoda1234]

Bonjour,

peux tu joindre aussi les rapports de Combofix et Malwarebytes?
Pour récupérer le rapport de Combofix (qui est dangereux dans des mains inexpérimentées), va en C\Combofix.
Pour MBAM: Onglet rapports/logs.

[invite78569d7c]

Merci pour cette réaction rapide.
Ci-joint les 2 rapports. J'avais d'abord lancé Combofix, puis Malwarebytes.

[invite78569d7c]

SVP, merci de réagir : j'ai laissé les rapports demandés, et ... plus de nouvelles. Je vois des messages postérieurs au mien, concernant le même rootkit et qui sont traités rapidement ...
Merci d'avance

[A voir en vidéo sur Futura]

[b marlow]

Salut,

Je vois des messages postérieurs au mien, concernant le même rootkit et qui sont traités rapidement ...

Il n'y a pas de hiérarchisation dans le temps de réponse, on commence par
les plus anciens puis on remonte vers les plus récents. Parfois il y a des loupés,
un sujet ou plus passent à travers la passoire, quand au nombre de posts on croit
que ces sujets sont en mains.


Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Fcopy::
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\system32\DRIVERS\atapi.sys  
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys    
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys     
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys  
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\mspmsnsv.dll | c:\windows\system32\mspmsnsv.dll   
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\mspmsnsv.dll | c:\windows\system32\dllcache\mspmsnsv.dll 
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"RTHDCPL"=-
"nwiz"=-
"Adobe Reader Speed Launcher"=-
"NeroFilterCheck"=-
"RemoteControl"=-
"HostManager"=-
"Profiler"=- 
"HP Software Update"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]     
"CTFMON.EXE"=-
 
File::
c:\documents and settings\Chevallier\Menu Démarrer\Programmes\Démarrage\monxga32.exe

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.




Ensuite tu peux changer d'antivirus,>AntiVir (tuto)< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

Clique ici pour télécharger la dernière version.

[invite78569d7c]

Bonjour,
j'ai suivi les instructions à la lettre ...
ci-joint le rapport de Combofix.
N'hésitez pas à me donner quelques indications sur ce qui se passe, ce que vous cherchez ou trouvez. Je suis d'un niveau très modeste en informatique, mais curieux.
Merci

[b marlow]

en fait nous venons de remplacer des fichiers infectés par des copies saines.
tu peux à present changer d'antivirus,>AntiVir (tuto)< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

Clique ici pour télécharger la dernière version.

[invite78569d7c]

Bonjour et merci pour ces indications. Quelques questions encore :

- concluez-vous aujourd'hui que mon PC est sain ? si le PC me semble avoir sa vitesse nominale, j'ai toujours le symptôme principal, à savoir qu'au démarrage, le bureau s'affiche, mais il me faut attendre 5mn pour qu'il finisse son démarrage (jiggle Windows) et me laisse la main

- quand j'ai été infecté, j'ai supprimé les fichiers touchés (signalés par Avast). En tout une quinzaine. C'est grave ?

- y a t-il eu un risque que j'infecte des périphériques (je m'étais connecté une fois à mon serveur NAS sur Ethernet, et j'ai eu une fois un autre PC allumé dans la maison sur le même lien Ethernet) ?

- conseillez-vous Antivir tout seul pour protéger le PC, ou bien de mettre d'autres soft type Spybot, ... ?

- j'ai installé RSIT, Combofix, GMER, bitdefender, et malwarebytes pour "chasser l'ennemi" : est-ce que ces logiciels se suppriment facilement ? J'ai entendu dire que non ?

- est-ce que ce rootkit Qandr est connu ? je l'ai vu plusieurs fois dans le forum. Quel est son action dans le PC ?

Bien cordialement,
Chichiviriche

[b marlow]

Pour vérifier le nettoyage, faire le scan avec antivir ou, si tu hésites à changer d'av, faire un scan en ligne:
Eset-Nod32 http://www.eset-nod32.fr/scanner.html (utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, poste le rapport qui sera en :
C:\Program Files\EsetOnlineScanner\****.t xt

- quand j'ai été infecté, j'ai supprimé les fichiers touchés (signalés par Avast). En tout une quinzaine. C'est grave ?

Quels fichiers ?

Tu peux utiliser si tu veux un antispyware, Spybot ou autre, avec protection en temps réel.

Pas de traces d'infection par support amovibles.

Pour supprimer les outils :

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

[invite78569d7c]

Re-bonjour,
j'ai fait le scan en ligne Eset, et rien n'a été trouvé
j'ai utilisé ToolsCleaner, le rapport est joint
j'ai installé Antivir qui a trouvé quelques chose ! voir fichier joint
ci-joint enfin la liste des fichiers supprimés la première fois que Qandr est arrivé. J'ai toujours le même symptôme du PC qui me laisse la main 5mn après le démarrage.
Qu'en pensez-vous ?
Merci de cette aide précieuse
Chichiviriche

[b marlow]

en effet une bien longue liste de drivers. On se demande comment il n'y a pas d'autrtes dysfonctionnements
sur cet ordi...
Si tu t'es bien assuré qu'il n'y a qu'un seul antivirus sur cette machine, les ralentissements peuvent s'expliquer
par les dégâts causés par ce rootkit.

Télécharge GMER
Clique sur le bouton Download EXE et enregistre-le sur ton Bureau.
Exécute-le par un double-clic sur le fichier créé sur le Bureau.
Dans l'onglet "Rootkit" , vérifie que tous les items à droite soient cochés:

**Assure-toi que "Show All" est décoché**

Clique sur "Scan" puis patiente...
A la fin clique sur "Save" et enregistre-le sur le Bureau.

Poste le rapport.

[invite78569d7c]

voici le rapport de scan de Gmer. Qu'est-ce que ça dit ?
Chichiviriche

[b marlow]

Il n'y a rien de particulier à signaler.

[invite78569d7c]

Bonjour,
- donc d'après vous, il n'y a plus rien de caché au fond de mon PC ?
- d'ou sortait le HIDDENEXT/Crypted trouvé par le scan Antivir, après le nettoyage avec Combofix ?
- est-ce que ça vaut le coup de réparer Windows par rapport au drivers qu'il me manque, ou conseillez-vous autre chose ?
Merci
Chichiviriche

[b marlow]

les fichiers trouvé par AntiVir étaient des traces en restauration du systeme.
Con cernant les fichiers infectés supprimé, il vaut mieux attendre et voir ce
que Windows te réclamera, et là tu aviseras.

[invite78569d7c]

Bonjour,
les fichiers qu'Avast avait dit avoir supprimé (dans la liste que je vous ai fourni), lors de l'infection, ne l'étaient pas vraiment : ceux qui ont réellement été supprimés étaient porteurs d'infection (PDRFRAME.sys, PDCOMP.sys, ...). Il ne me manquait finalement qu'un seul driver --> changer.sys que j'ai remis. Donc, tout est complet
Mais mon PC à toujours le même symptôme du PC qui me laisse la main 10mn après le démarrage (comme VIRGRENNES - plus haut dans le forum - qui a été touché par le même malware). De plus, le PC fait des accès très réguliers au DD (toutes les secondes), avec des petits coups de sablier régulièrement, il "trafique" quelque chose.
Que préconisez-vous ?
Est-ce utile de lancer un soft genre "Virus Effect Remover" - V.E.R - pour réparer les dégats ?
Bien cordialement, Chichiviriche

[b marlow]

Est-ce utile de lancer un soft genre "Virus Effect Remover" - V.E.R - pour réparer les dégats ?

Perso, pour un systeme trop instable et "cassé" je préfèrerais une réinstallation propre.
Je ne suis pas partisan de l'acharnement thérapeutique concernant Windows. D'où l'utilité
des images disques.