Win32.qandr

[invite1cdaeb14]

Bonjour,

mon antivirus avast annonce que mon PC est infecté par le virus WIN32.QANDR, comment fait-on pour le supprimer ?
-----

[yoda1234]

Bonjour et bienvenue!

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[invite1cdaeb14]

Bonjour,

J'ai effectué les 4 étapes décrites dans la procédure, j'espère que le rapport sera bien présent en pièce jointe.

[yoda1234]

Il manque le fichier "Info" qui se trouve:

Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[A voir en vidéo sur Futura]

[invite1cdaeb14]

Bonjour,


Ci-joint les fichiers info et log demandés

[b marlow]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide
coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.

[invite1cdaeb14]

Bonjour,

J'ai téléchargé le logiciel malwarebyte's et suivi les instructions mais le virus en question est toujours présent au redémarrage. Il est signalé par AVAST qui préconise de l'éliminer mais le logiciel ne doit pas être très efficace car il réapparaît sans cesse. Que faire ?

[b marlow]

tu as cliqué sur Supprimer la sélection à la fin du scan ?
l'ordi a-t-il rebooté ? Sur le rappoert on ne voir ni le redémarrage ni la suppression
(qui se fait au reboot)...

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite1cdaeb14]

Bonjour,

J'ai téléchargé COMBOFIX et suivi les instructions. Au redémarrage AVAST s'est remis en marche et il a trouvé toujours le même virus. J'ai recommencé avec COMBOFIX et remis à jour ce logiciel avec une version plus récente. Après cela, j'ai redémarré AVAST et très rapidement, il m'a donné l'alerte sur le virus avec les messages suivants :
Nom du Fichier : C:\windows\System 32\Drivers\mskbot.sys
Type : services cachés
Nom du Malware : Win32.Qandr (Rtk)

Ci-joint les rapports de COMBOFIX ( log 2 étant la version avec mise à jour du logiciel)

[b marlow]

Désactive avast le temps de cette manip.

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

 
Collect::
c:\windows\system32\drivers\mskbot.sys 
 
File::
c:\windows\system32\perfh00C.dat   
c:\windows\system32\perfc00C.dat      
c:\windows\Internet Logs\xDB5E.tmp      
c:\windows\system32\browserchoice.exe        
c:\windows\Internet Logs\xDB5D.tmp     
c:\windows\Internet Logs\xDB5C.tmp     
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mskbot]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.