Infecté par Win32 Qandr (Rtk)

[invite5c2a9db7]

Bonjour je suis nouveau sur ce forum et je m'addresse à vous car je n'arrive pas à me débarrasser de ce rootkit.
J'avais Avast comme antivirus quand je l'ai repéré pour la première fois, mais comme le rootkit ne partait pas malgré les suppression j'ai décidé d'essayer malwarebytes qui m'a renvoyé le rapport ci-dessous ( il supprime apparement le rootkit mais celui-ci revient à chaque démarrage de mon ordinateur).
J'ai depuis changé d'antivirus, me débarrassant d'avast pour AntiVir qui est apparement plus efficace et au moment ou je poste sur ce forum je suis en train d'effectuer une analyse complète dont je posterais le rapport.

Pouvez vous m'aidez?

mbam-log-2010-05-08 (12-17-07).txt
-----

[yoda1234]

Bonjour,

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[invite5c2a9db7]

Merci encore de m'avoir indiqué la procédure ^^

Donc normalement ( sauf si j'ai mal uploadé ) voici 4 rapports:
Un de malwarebytes, un autre de Antivir et les 2 derniers sont de rsit

[invite4c6c2965]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[A voir en vidéo sur Futura]

[invite5c2a9db7]

Tout d'abords merci d'avoir répondu aussi vite à mon appel à l'aide.

Voici le rapport rendu par combofix

[invite4c6c2965]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Collect::
C:\Windows\System32\drivers\dtcmmlg.sys
 
File::
c:\users\Valentin\AppData\Roaming\qvjsge.dat  
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dtcmmlg]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invite5c2a9db7]

bon voilà le rapport (par contre ça s'est lancé directement car j'ai pas eu l'occasion de faire 1 et valider )

[invite4c6c2965]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

 
KillAll
 
Rootkit::
c:\windows\System32\drivers\dtcmmlg.sys 
 
Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\dtcmmlg]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invite5c2a9db7]

voilà le rapport

[invite4c6c2965]

Télécharge GMER
Clique sur le bouton Download EXE et enregistre-le sur ton Bureau.
Exécute-le par un double-clic sur le fichier créé sur le Bureau.
Dans l'onglet "Rootkit" , vérifie que tous les items à droite soient cochés sauf les options suivantes :

Sections
IAT/EAT

**Assure-toi que "Show All" est décoché**

Clique sur "Scan" puis patiente...
A la fin clique sur "Save" et enregistre-le sur le Bureau.

Poste le rapport.

[invite5c2a9db7]

euh je crois qu'il y a un problème avec ce programme...
A chaque fois que je le lance, l'analyse débute bien mais au bout d'un moment mon pc freeze bizarrement ( je ne peut plus interagir avec mon bureau ou quoi que ce soit d'autre cependant la souris bouge toujours à l'écran quand je la sollicite par contre elle réagit lentement par moment comme s'il y avait du lag)
Je vais réessayer en surveillant bien pour repérer à quel moment le problème intervient et si jamais ça marche je poste le rapport

[invite5c2a9db7]

euh je crois qu'il y a un problème avec ce programme...
A chaque fois que je le lance, l'analyse débute bien mais au bout d'un moment mon pc freeze bizarrement ( je ne peut plus interagir avec mon bureau ou quoi que ce soit d'autre cependant la souris bouge toujours à l'écran quand je la sollicite par contre elle réagit lentement par moment comme s'il y avait du lag)
Je vais réessayer en surveillant bien pour repérer à quel moment le problème intervient et si jamais ça marche je poste le rapport

je confirme, le pc freeze bien uniquement quand je lance le programme ( pas besoin de lancer le scan, il suffit que le programme soit actif un certain moment et bang mon pc freeze et ramme comme c'est pas possible)

[invite4c6c2965]

Télécharge RootRepeal par clic-droit sur ce lien :

• Enregistre-le sur le Bureau.
• Crée un nouveau dossier nommé RootRepeal à la racine de C:\
• Décompresse l'archive téléchargée dans le dossier RootRepeal
• Désactive ton antivirus le temps du scan.
• Ferme tous les programmes ouverts.
• Ouvrir le dossier RootRepeal
• Fais un double clic sur RootRepeal.exe pour le lancer
• Clique sur l'onglet Report (en bas de la fenêtre)
• Clique sur le bouton Scan
• Dans la nouvelle fenêtre Select Scan, coche :

Code:

- Drivers
- Files
- Processes
- SSDT
- Stealth Objects
- Hidden Services

• Clique sur le bouton OK
• Dans la nouvelle fenêtre Select Drives, coche tous les lecteurs affichés
• Clique sur le bouton OK pour lancer l'analyse

A la fin du scan clique sur le bouton Save Report et enregistre le rapport sur le Bureau sous le nom RootRepeal******txt

Poste le rapport en pj et réactive ton antivirus.

[invite5c2a9db7]

voilà le rapport

[invite4c6c2965]

Démarrer>>exécuter>>copie-colle ComboFix /Uninstall puis valide par Entrée.
retélécharge Combofix ici http://download.bleepingcomputer.com/sUBs/ComboFix.exe
relance celui-ci puis poste le nouveau rapport

[invite5c2a9db7]

voilà le nouveau rapport
Désolé pour cette longue absence mais ma freebox se la jouait primadonna et le temps qu'on la remplace ben pas d'internet ^^

[invite4c6c2965]

ouvre OTM puis clique sur le bouton CleanUp! cela nettoiera l'ordi des outils de la procédure.

Fais un scan en ligne Bitdefender
en cliquant sur ce bouton :

Poste le rapport final que tu trouveras en cliquant sur Afficher le journal.

[invite5c2a9db7]

pardon mais qu'est-ce qu'OTM?

[invite4c6c2965]

Confusion, désolé, utilise plutôt ceci:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

Ensuite le scan Bitdefender.

[invite5c2a9db7]

rapport de toolcleaner et journal de bitdefender

[invite4c6c2965]

Ok, c'est cool. Quelques conseils pour surfer couvert:

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

@+

[invite5c2a9db7]

ça n'a peut être aucun rapport mais depuis ce rootkit, mon pc bug quand je joue à des jeux que je faisais tourner sans aucun problème avant ( la majorité des bug surviennent quand je joue en ligne mais c'est extrêmement frustrant)

Je me demande si ce rootkit a vraiment disparu ou s'il ne m'a pas saccagé mon dossier drivers au passage

[invite4c6c2965]

Je me demande si ce rootkit a vraiment disparu ou s'il ne m'a pas saccagé mon dossier drivers au passage 25/05/2010 20h37

On peut contrôler encore sa présence:




Télécharge GMER
Clique sur le bouton Download EXE et enregistre-le sur ton Bureau.
Exécute-le par un double-clic sur le fichier créé sur le Bureau.
Dans l'onglet "Rootkit" , vérifie que tous les items à droite soient cochés sauf les options suivantes :

Sections
IAT/EAT

**Assure-toi que "Show All" est décoché**

Clique sur "Scan" puis patiente...
A la fin clique sur "Save" et enregistre-le sur le Bureau.

Poste le rapport.