Virus Win32/Alureon.H

Question

Bonjour,

Depuis quelques jours, mon antivirus (Windows Live OneCare) me signale la présence du virus Win32/Alureon.H sur mon ordinateur ; virus qu'il ne peut manifestement pas supprimer.

J'ai donc pris connaissance de la fiche pratique que vous avez mis en ligne à ce sujet. Pour autant, mes connaissances informatiques étant plus que limitées, j'hésite vis à vis de la marche à suivre.

Pourriez-vous me renseigner ?
Merci d'avance,
Cordialement,
JB

Config: Windows XP Media center version 2002 SP 3

plopus · Answer

salut


Utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/

plopus · Answer

OK, 

poste le rapport direct sur le forum mais en au moins 2 fois sinon sa va pas passer

plopus · Answer

deja tu as plus de place sur ton disque !!
ta RAM est presque entierement utiliser, ton PC est tres peu puissant, ces 2 facteurs font deja que ton PC, rame a fonds !!

ensuite tu as une infection USb, tous tes supports amovible sont infectes


* Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
https://www.ionos.fr/?affiliate_id=77097
#  Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau
# choisi l'option 2 ( Suppression )
# Ton bureau disparaîtra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
# ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
# Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
# Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
# Merci d'avance pour ta contribution !!


ensuite fait sa ou passe directement a GMER, si USbfix plante


/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
http://www.gmer.net/
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.

plopus · Answer

salut

pas besoin de brancher tes support amovible pendant GMER.

redemarre ton PC au bip tapote F8 et choisit mode sans echec, et tu relance GMER, tu patiente sa peut etre LONG mais SURTOUT n'utilise pas ton PC pendant le scan

en attente du rapport

plopus · Answer

bon,

redemarre en mode normal :


Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

ensuite tu desactive toutes tes defence, antivirus, antispyware, parefeu si autre que windows et DECONNECTE toi d'internet et relance GMER

durant le scan en touche a rien et poste le rapport ensuite

JB · Answer

Salut Ploplus,

Comme convenu, j'ai repris la procédure en cours. J'ai dû segmenter l'analyse GMER car l'ordinateur plantait dès lors que je procèdais à une analyse complète. 
Voici les problèmes détectés:
Rapport GMER Devices:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijuSYVARN.doc
Rapport GMER files c:\
http://www.cijoint.fr/cjlink.php?file=cj201005/cijbLtEBcX.doc
Rapport GMER section
http://www.cijoint.fr/cjlink.php?file=cj201005/cijdXc9At3.doc
Pour le reste, GMER n'a rien détecté.
Thanks

plopus · Answer

quand tu passe par Cijoint, colle tout dans le meme fichier pour ne faire qu'UN SEUL lien...


bon, c'est bien alureon tu as un fichier systeme infecter !!

il faut faire les manips d'un seul coup et ne pas attendre semiane entre chaque scan sinon tout reviens en meme pire

donc fait sa deja :


desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

plopus · Answer

re


oki, recu, apparament Combo a fait le + gros tout seul :


- clic ici https://www.virustotal.com/gui/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser

c:\windows\system32\0580FDE563.sys 


- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)


puis


    *  Télécharge Malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


ensuite un conseil va dans demarrer/peanneau de configuration/ajouter et supprimer un programmes  et desinstalle :

- spybot search and destroy
- windows live one care



et tu installe antivir :  http://www.commentcamarche.net/telecharger/telecharger-55-antivir
DECOCHE PENDANT L'INSTALLATION, lexecution du scan apres l'installation

puis configure le comme sa :  https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal


puis lance un scan complet, supprime tous ce qu'il trouve et copie colle le rapport ici

plopus · Answer

re


oui mais maintenant ce qui est important c'est de savoir dans qu'elle fichier, il le detcte peut etre dans la quarantaine de combofix.
Note le fichier que windows live onecare detecte

le seul scan qui pourra nous dire si oui ou non c'est fini c'est le suivant mais avant fait redemarrer AU MOINS  1 FOIS ton PC.


Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

ensuite tu desactive toutes tes defence, antivirus, antispyware, parefeu si autre que windows et DECONNECTE toi d'internet et relance GMER 

Pour GMER, tu enregsitre le rapport dans un fichier .txt, pas un doc MAIS SURTOUT si tu l'enoie via Cijoint METS TOUT DANS UN SEUL RAPPORT, c'est sur le forum (ici) qu'i faut poster en 2 fois et encore pour GMER en genral sa passe

JB · Answer

Salut,

Bon, j'ai toujours un problème avec GMER. J'ai lancé plusieurs analyses hier soir et cette nuit. Les analyses plantent à chaque fois que GMER analyse les sections device\. (j'ai bien utilisé defogger comme tu me le demandais).

plopus · Answer

slt

redemarreton PC au bip tapote F8 et choisit mode sans echec

et relance GMEr et enregistre bien le rapportet poste le.


windows liveone care te detecte le virus dans quel fichier ? note le la prochaine fois si il te le detcte encore.

JB · Answer

1- J'ai tenté par 2 fois de démarrer en mode sans échec. Le PC plante et redémarre en mode normal.

2- Voici les 2 rapports que m'a sorti Windows Live One care sur les 2 dernières analyses; la dernière ne décelant plus de virus. Le fichier infecté et réparé lors de la 1ere analyse apparait à la fin du copier/coller qui suit:

17/05/2010 17:18 Fin de l'analyse antivirus et logiciels espions 

Éléments analysés : C:\
 
Type d'analyse : Analyse complète 
Début de l'analyse : 17/05/2010 14:12 
Fin de l'analyse : 17/05/2010 17:18 
Nombre total de fichiers analysés : 1778292 
Nombre total de fichiers non analysés : 41 
Nombre total de menaces détectées : 0 
Nombre total de menaces nettoyées : 0 
Nombre total de menaces supprimées : 0 
Nombre total de menaces mises en quarantaine : 0 
Nombre total de menaces toujours présentes mais interrompues : 0 
 
 
17/05/2010 14:31 Signatures mises à jour 
de : Delta AV :(1.81.1802.0), Base AV :(1.81.0.0), Delta AS :(1.81.1802.0), Base AS :(1.81.0.0), Moteur AM :(1.1.5703.0) 
vers : Delta AV :(1.81.1848.0), Base AV :(1.81.0.0), Delta AS :(1.81.1848.0), Base AS :(1.81.0.0), Moteur AM :(1.1.5703.0) 
 17/05/2010 14:31 
 
 
17/05/2010 14:06 Fin de l'analyse antivirus et logiciels espions 

Éléments analysés : C:\
 
Type d'analyse : Analyse personnalisée 
Début de l'analyse : 17/05/2010 11:08 
Fin de l'analyse : 17/05/2010 14:05 
Nombre total de fichiers analysés : 1777503 
Nombre total de fichiers non analysés : 42 
Nombre total de menaces détectées : 1 
Nombre total de menaces nettoyées : 1 
Nombre total de menaces supprimées : 0 
Nombre total de menaces mises en quarantaine : 0 
Nombre total de menaces toujours présentes mais interrompues : 0 
 
 
17/05/2010 14:06 Windows Live OneCare a détecté des logiciels potentiellement dangereux ou indésirables sur votre ordinateur 
Nom de la menace : Virus:Win32/Alureon.H 
Date et heure de la détection : 17/05/2010 11:08 
Nom du fichier : C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP1093\A0275878.sys 
Gravité de la menace : Grave 
Catégorie de la menace : Virus 
Menace détectée par l'analyse à la demande : (ANTIVIRUS_ONDEMAND) 
Statut de la menace : Nettoyé

plopus · Answer

ok poste un nouveau ZHPdiag maintenant



puis


- clic ici https://www.virustotal.com/gui/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser (une par une)

c:\documents and settings\All Users\Application Data\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Installations\CommonCustomActions\UninstPCSFEMsi.exe

c:\windows\Installer\{9112040C-6000-11D3-8CFE-0150048383C9}\unbndico.exe

 c:\windows\Installer\{9112040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe

 c:\windows\Installer\{9112040C-6000-11D3-8CFE-0150048383C9}\outicon.exe

- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)


tu as donc 4 rapports a poster, pour 4 fichier differents

plopus · Answer

tu desinstallera ton antivirus microsoft livecar

et installe antivir :  http://www.commentcamarche.net/telecharger/telecharger-55-antivir

configure le comme ceci :  https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal


lance un scan, supprime tous ceq 'il trouve et poste le rapport

plopus · Answer

desinstalle microsoft live one care, il est pas terrible et installe antivir a la place et configure le comme expliquer puis reactive le parefeu windows en attendant 

ou si tu veux un parefeu efficace, tu m'en refait la demande en fin de desinfection 

par exemple onlinearmor ou comodo (compliquer mais  tres efficace) 
ou zonealarme + simple mais moins efficace

JB · Answer

Voici le rapport Antivir:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijoZyAaw1.doc
PS: désolé pour le format de texte, ci-joint ne voulait pas me le prendre autrement

plopus · Answer

affiche  les dossier caches  https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

et supprime ce fichier

C:\Documents and Settings\J B\Local Settings\Application Data\jmctyk\cwhcsftav.exe


et dit moi ce qu'il ya dans le dossier   C:\Documents and Settings\J B\Local Settings\Application Data\jmctyk

et réessaye un scan GMER en normal ou mode sans echec si sa bug en normal

JB · Answer

J'ai supprimé le dossier.
Concernant l'analyse GMER:
- toujours le même problème qu'il y a 2 jours (cela ne le faisait pas auparavant), le PC ne redémarre pas en mode sans échec. Il reboote automatiquement en mode normal.
- en mode normal, GMER plante à chaque fois qu'il analyse la rubrique "devices". Pour le reste des rubriques, l'analyse est menée à son terme ("system", "sections", "IAT/EAT", "modules, "processes", "thread", "libraries", "services", "registry" et "files c:\). Pour ces dernières, GMER ne décèle aucun problème et ne rend un rapport que pour la rubrique "system", le voici:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-19 13:39:31
Windows 5.1.2600 Service Pack 3
Running: sojxwop9.exe; Driver: C:\DOCUME~1\JB0176~1\LOCALS~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT  F7CA7466  ZwCreateKey
SSDT  F7CA745C  ZwCreateThread
SSDT  F7CA746B  ZwDeleteKey
SSDT  F7CA7475  ZwDeleteValueKey
SSDT  F7CA747A  ZwLoadKey
SSDT  F7CA7448  ZwOpenProcess
SSDT  F7CA744D  ZwOpenThread
SSDT  F7CA7484  ZwReplaceKey
SSDT  F7CA747F  ZwRestoreKey
SSDT  F7CA7470  ZwSetValueKey
SSDT  F7CA7457  ZwTerminateProcess

---- EOF - GMER 1.0.15 ----

plopus · Answer

ok


je t'avoue que meme chez moi, GMER plante a chaque fois dans device  :-/

si tu as bien laisser toutes les autres case cocher pour faire ce scan, c'est bon.



fait sa :


va dans demarrer / executer

tu tape

CHKDSK

puis entrée

un scan va ce lancer laisse le faire et suit les instructions a la fin si on t'en donne.


=======


puis retourne dans demarrer / executer tape

CMD

puis entrée

dans la fenetre noir tu tape

sfc /scannow (il y a un espace entre les 2)

un scan va ce lancer, laisse faire si on te demande le CD de windows met le si tu l'as.

dit moi ce que les 2 commandes t 'on mise et si sa te retabli le mode sans echec a tout hasard

JB · Answer

Salut,

Tu me rassures concernant GMER...

La commande CHDSK a récupéré le fichier orphelin tmp.edb 39170 lors de l'analyse des index. Rien d'autre pour le reste, et aucune instruction finale.

La commande sfc /scannow me demande d'insérer le CD de windows SP 3. Je n'ai que le CD de la version windows XP mediacenter. La commande ne poursuit pas l'opération avec celui-ci.

Le PC ne démarre toujours pas en mode sans échec. Il plante et reboote au moment du choix de l'utilisateur ou du chargement des paramètres personnels.

plopus · Answer

salut

pourle mode sans echec essaye sa :


Télécharger sur le bureau le fichier correspondant à votre OS
http://www.oxygenepc.com/forum/reparer-le-mode-sans-echec-de-windows-t62.html
= dézipper sur le bureau
= puis double clic sur le .reg dans le dossier nouvellement créé et accepter la fusion

et voir si tu démarres en sans échec

JB · Answer

Voilà le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijoACInk8.txt
Le PC ne redémarre toujours pas en mode sans échec

plopus · Answer

slt

peu tu me dire si ce dossier est present

C:\WINDOWS\ServicePackFiles\i386

ne le touche surtout pas !!

JB · Answer

Salut,
Oui, j'ai bien ce dossier

JB · Answer

Gros bug du forum. Comme tu le constates, le message apparait sur 3 pages...

plopus · Answer

ouias gros bug du forum je vois  oO


1 * s'assurer que le dossier i386 est bien present en C:\WINDOWS\ServicePackFiles\i386

2 * telecharger sfc.zip contenant sfc.bat

http://forum.malekal.com/download/file.php?id=2727

» executer sfc.bat et laisser se faire jusqu'à la fin , ça prend quelques minutes, c:\i386 est alors present en c:\i386

3 * telecharger sur le bureau , executer et accepter la fusion de sourcepath.reg:

http://forum.malekal.com/download/file.php?id=2789

4 * redemarrer le pc

5 * proceder au sfc /scannow via executer----> sfc /scannow

la verification de l'intégrité des fichiers systeme s'opere et dit moi comment sa ce passe

JB · Answer

J'ai suivi tes instructions

1- Comme je te le disais tout à l'heure, j'ai bien un dossier i386 dans C:\WINDOWS\ServicePackFiles. Par contre, pas de i386 dans C:\WINDOWS\ServicePackFiles\i386

2- Après avoir suivi les instructions qui suivent, la commande sfc /scannow m'a demandé à plusieurs reprises d'insérer le CD windows XP SP3 et Professionnal. Je n'ai pas ces CD alors que je n'ai pas de version cracké de windows sur mon PC. L'insertion du CD m'est demandé :
- soit pour effectuer une copie de fichier dans DLL cache (peut être en relation avec les dossiers Dell puisque mon ordi est un dell???)
- soit car "des fichiers nécessaires au fonctionnement de windows ont été remplacés par des fichiers d'une version non reconnue. Pour maintenir la stabilité du système Windows doit restaurer la version originale des fichiers"

plopus · Answer

tu as oui ou non ce dossier 

C:\WINDOWS\ServicePackFiles\i386 

tu as executer le 1er fichier .bat qui crée  c:\i386

puis ensuite

tu telecharge le 2eme lien sur ton bureau, tu l'execute acceptte la fusion

et apres tu fait SFC.

c'est EXACTEMENT ce que tu as fait ?

plopus · Answer

slt

    * Démarrer en mode normal
    * Touche Windows + Pause
    * Onglet Avancé
    * Bouton Rapport d'erreurs
    * Cliquer Activer les rapports d'erreurs
    * Cocher Système d'exploitation Windows
    * Cocher Programmes
    * Cliquer Choisir les programmes
    * Cocher Tous les programmes
    * Cocher Composants Windows
    * Cocher Programmes de Microsoft
    * Valider par OK les deux fenêtres
    * Dans la frame Démarrage et récupération Cliquer sur Paramètres
    * Dans la frame Défaillance du système
          o Cocher Ecrire un événement dans le journal système
          o Cocher Envoyer une alerter d'administration
          o Décocher redémarrer automatiquement (comme ça il verra vite l'empleur du problème)
    * Valider par OK toutes les fenêtres
    * Cliquer Démarrer / Exécuter
    * Saisir la commande


notepad %systemroot%
tbtlog.txt


    * Supprimer le contenu du ntbtlog.txt
    * Sauvegarder le fichier vide
    * Tenter un démarrage en mode sans échec
    * Si ça foire redémarrer en mode normal et aller voir ce que dit l'observateur d'événements (Système / Application)
    * Si pas d'information ouvrir le fichier :



    %systemroot%
tbtlog.txt



et copie colle toutes les info que tu as pu recup

JB · Answer

Salut,

Voilà ce que cela a donné:

1- le fichier ntbtlog.txt n'existait pas. Je l'ai crée et sauvegardé comme me le proposait la commande windows.

2- le mode sans échec a encore foiré.

3- l'observateur d'évènement livre les infos suivantes:
- le fichier journal évènement/application est endommagé et ne peut s'ouvrir.
- dans le fichier journal évènement/système, j'ai trouvé les évènements suivants qui correspondent à l"heure à laquelle le PC a rebooté du mode sans échec: 
* Le système a détecté que la carte réseau \DEVICE\TCPIP_{A06D4F50-737F-4A05-A62A-485F1A6BBC94} était déconnectée du réseau, et la configuration réseau de la carte a été abandonnée. Si la carte réseau n'était pas déconnectée, ceci peut indiquer un disfonctionnement. Contactez le fabricant pour des pilotes mis à jour.
* L'explorateur a forcé une élection sur le réseau \Device\NetBT_Tcpip_{A06D4F50-737F-4A05-A62A-485F1A6BBC94} car un maître explorateur a été arrêté.

4- Je te poste dans la réponse suivant le rapport rendu par %systemroot%
tbtlog.txt

plopus · Answer

Bon, oki

va sur ce site  https://www.touslesdrivers.com/index.php?v_page=29

clic sur lancer detection, tu devras installer un active X, une fois fait, reclic sur lancer la detection patiente :

une nouvelle page va s'ouvrir avec une liste de materiel et dessous TOUS les dfrivers disponible, pour chaque categorie tu installe LE DERNIER DRIVER en DATE,  car dans 1 meme categorie tu peux avoir 3 ou 4 mise a jour qui n'ont pas etait faite, tu installe qu'une, la derniere en date de sortie

plopus · Answer

salut

quand tu essaye de demarrer en mode sans echec tu choisit mode sans echec tout court ou avec prise en charge du reseau ?


essaye sa :

    * Ouvrir l'Observ. : commande eventvwr
    * Sélectionner le journal applications (en le cliquant)
    * Dans la barre d'outil de l'observateur, il clique sur l'icône Propriétés (ça ouvre les properties de l'appli)
    * Onglet général / Effacer le journal
  


ensuite refait l'etape avec le log  %systemroot%
tbtlog.txt 

mais une fois que tu effacer le journal, tu refait l'etape avec le ntbtlog.txt 
et tu essaye de demarrer en MODE SANS ECHEC TOUT COURT et UNE SEUL FOIS

une fois fait poste le contenu du journal d'evenement + le  ntbtlog.txt, pas apres avoir booter 15 fois.

JB · Answer

Salut,

Je tente de démarrer en mode sans échec normal. J'ai effectivement tenté le mode sans échec avec prise en charge réseau. Mais, cela ne donne rien non plus.

Voilà le contenu du journal d'évènement:
Nom	Type	Description	Taille
Application	Journal	Enregistrements d'erreurs d'application	64,0 Ko
Sécurité	Journal	Enregistrements d'audits de sécurité	64,0 Ko
Système	Journal	Enregistrements d'erreurs système	512,0 Ko
ACEEventLog	Journal	Enregistrements d'erreurs de journal personnalisé	--
Canal+	Journal	Enregistrements d'erreurs de journal personnalisé	64,0 Ko
Internet Explorer	Journal	Enregistrements d'erreurs de journal personnalisé	--
Media Center	Journal	Enregistrements d'erreurs de journal personnalisé	64,0 Ko

Le contenu du journal d'application:
Type	Date	Heure	Source	Catégorie	Événement	Utilisateur	Ordinateur
Informations	23/05/2010	11:01:56	gupdate	Aucun	0	N/A	JB
Informations	23/05/2010	11:01:51	EAPOL	Aucun	2002	N/A	JB
Informations	23/05/2010	11:01:51	EAPOL	Aucun	2003	N/A	JB
Informations	23/05/2010	11:01:34	SecurityCenter	Aucun	1800	N/A	JB
Informations	23/05/2010	11:01:24	Avira AntiVir	AntiVir 	4096	SYSTEM	JB
Informations	23/05/2010	11:01:20	RegSrvc	Aucun	0	N/A	JB
Informations	23/05/2010	11:01:18	gupdate	Aucun	0	N/A	JB
Informations	23/05/2010	11:01:17	Bonjour Service	Aucun	1	N/A	JB
Informations	23/05/2010	11:01:11	EvtEng	Aucun	0	N/A	JB

Le contenu du journal sécurité:
Type	Date	Heure	Source	Catégorie	Événement	Utilisateur	Ordinateur
Audit des succès	25/12/2006	11:44:29	Security	Événements système 	517	SYSTEM	JB

Le contenu du journal système:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijR8SUD6O.txt

Et le ntbtlog.txt (qui est toujours aussi long, pourtant j'ai fait ce que tu m'indiquais)
http://www.cijoint.fr/cjlink.php?file=cj201005/cijSlRUwrP.txt

plopus · Answer

mouais, bon la je commence a caler  :-/

peut tu me poster un nouveau ZHPdiag, stp pour que 'lon verif un trcu ensemble et te faire faire une manip

plopus · Answer

bon ok, je comprends mieux le pourqu'oi du comment

tu es encore bien infecter !!

supprilme tes cracks et keygen car l'infection ce relance sans cesse


fait sa :


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    * Télécharge Toolscleaner sur ton Bureau
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
    * Double-clique sur ToolsCleaner2.exe et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse




puis tu devras retelecharger les outils c'est normal


desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

JB · Answer

Voilà le rapport TCleaner:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijWVEcVTI.txt

plopus · Answer

essaye de faire ce qui suit assez vite pour pas les rootkits te rajoute  encore des choses 

va dans demarrer/panneau de config/desinstaller un programme et desintalle :


J2SE Runtime Environment 5.0 Update 10 - (.Sun Microsystems, Inc..) [HKLM]     
J2SE Runtime Environment 5.0 Update 6 - (.Sun Microsystems, Inc..) [HKLM]     
Java 6 Update 7 

+ les logiciels que tu n'uilise plus mais pas ce que tu connais pas, pour gagner de la place car tu en a bientot plus sur C:


ensuite

Crée un fichier avec le bloc-note, clic droit sur le bureau et choisit nouveau/document texte
tu NOMME le fichier CFscript
copie colle le contenu ci-dessous a l'interieur du fichier texte (blocnote) :


copie tous ce qui ce trouve dans le lien
http://www.cijoint.fr/cj201005/cijMoh5mWW.txt


Sauvegarde bien le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (que tu a renommer)
tu reste clic dessus le fichier Cfscript et tu le depose sur l'icone de combofix renommé

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

puis

- Telecharge et installe CCleaner
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
- une fois installer, lance le
- va dans option/avancé et decoche la 1er ligne
- et nettoie plusieurs fois dans les onglets regsitre et nettoyeur jusqu' a trouver 0erreur

et ensuite installe la derniere version de java  https://www.java.com/fr/download/linux_manual.jsp


apres sa teste le mode sans echec et reposte un NOUVEAU ZHPdiag

JB · Answer

Voilà le rapport combofix:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijHeirr3V.txt
Dis moi si je me suis pas planté dans l'insertion du fichier CFScript.txt  car je n'ai pas eu à taper 1 comme tu me l'indiquais.

JB · Answer

Toujours pas de mode sans échec. Mais, j'ai failli y croire ce coup ci car le PC a mis plus de temps à rebooter. Une fenêtre est apparue 1 seconde pour vraissemblement m'informer du reboot. Je n'ai pas eu le temps de la lire.
Et voilà le rapport ZHPdiag:
http://www.cijoint.fr/cj201005/cijCFwovUa.txt

plopus · Answer

salut   


- clic ici https://www.virustotal.com/gui/   
- clic sur parcourir en milieu de page   
- dans la nouvelle fenetre copie colle la (les) ligne a analyser une par une :   



C:\WINDOWS\Tasks\WebReg 20080117122208.job    

C:\Documents and Settings\All Users\Application Data\Microsoft\OneCare Protection\Definition Updates\{F075AB95-0729-4E7B-AEEA-08A6B5CA994D}\MpKsl0a072260.sys    



- clic sur ouvrir   
- clic sur envoyer, un rappport va s'etablir   
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser   
et copie colle le rapport ici + l' URL du rapport (adresse internet)   


puis   


* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)   
(Sous Vista ou 7, en faisant un clic droit en tant qu'administrateur)   
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)   
* Copie/colle les lignes suivantes et place les dans ZHPFix :   


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified        
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified        
[HKCU\Software\LdShih]        
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]    
O53 - SMSR:HKLM\...\startupreg\MSKDetectorExe  [Key] . (.McAfee, Inc. - McAfee SpamKiller Account Detector.) -- C:\Program Files\McAfee\SpamKiller\MSKDetct.exe    



* Ok   
* Clique sur « Tous », puis sur « Nettoyer »   
* Copie/colle la totalité du rapport dans ta prochaine réponse  


puis refapsse un coup de CCleaner regsitre compris  

puis refait un CHKDSK et un sfc

JB · Answer

Voilà pour C:\WINDOWS\Tasks\WebReg 20080117122208.job 
URL:
http://www.virustotal.com/fr/analisis/60ae4fa96525d12512ac332024872567bcedf2a0ba5a698819d33d3cb5c9c69d-1274695089
Rapport:
Fichier WebReg_20080117122208.job reçu le 2010.05.24 09:58:09 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/41 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.  Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.05.10 - 
AhnLab-V3 2010.05.23.00 2010.05.22 - 
AntiVir 8.2.1.242 2010.05.23 - 
Antiy-AVL 2.0.3.7 2010.05.24 - 
Authentium 5.2.0.5 2010.05.23 - 
Avast 4.8.1351.0 2010.05.23 - 
Avast5 5.0.332.0 2010.05.23 - 
AVG 9.0.0.787 2010.05.23 - 
BitDefender 7.2 2010.05.24 - 
CAT-QuickHeal 10.00 2010.05.24 - 
ClamAV 0.96.0.3-git 2010.05.22 - 
Comodo 4930 2010.05.24 - 
DrWeb 5.0.2.03300 2010.05.24 - 
eSafe 7.0.17.0 2010.05.23 - 
eTrust-Vet 35.2.7506 2010.05.24 - 
F-Prot 4.6.0.103 2010.05.23 - 
F-Secure 9.0.15370.0 2010.05.24 - 
Fortinet 4.1.133.0 2010.05.23 - 
GData 21 2010.05.24 - 
Ikarus T3.1.1.84.0 2010.05.24 - 
Jiangmin 13.0.900 2010.05.22 - 
Kaspersky 7.0.0.125 2010.05.24 - 
McAfee 5.400.0.1158 2010.05.24 - 
McAfee-GW-Edition 2010.1 2010.05.23 - 
Microsoft 1.5802 2010.05.24 - 
NOD32 5139 2010.05.23 - 
Norman 6.04.12 2010.05.23 - 
nProtect 2010-05-23.01 2010.05.23 - 
Panda 10.0.2.7 2010.05.23 - 
PCTools 7.0.3.5 2010.05.24 - 
Prevx 3.0 2010.05.24 - 
Rising 22.49.00.03 2010.05.24 - 
Sophos 4.53.0 2010.05.24 - 
Sunbelt 6346 2010.05.24 - 
Symantec 20101.1.0.89 2010.05.24 - 
TheHacker 6.5.2.0.286 2010.05.24 - 
TrendMicro 9.120.0.1004 2010.05.24 - 
TrendMicro-HouseCall 9.120.0.1004 2010.05.24 - 
VBA32 3.12.12.5 2010.05.22 - 
ViRobot 2010.5.20.2326 2010.05.24 - 
VirusBuster 5.0.27.0 2010.05.23 - 
Information additionnelle 
File size: 408 bytes 
MD5...: 558a6794ce03d7d3c7b28c9a51e5c1e7 
SHA1..: 541122cb322471e3612548c428bb5220f5d5f588 
SHA256: 60ae4fa96525d12512ac332024872567bcedf2a0ba5a698819d33d3cb5c9c69d 
ssdeep: 6:D/MAl6tKzbdlrgUiElREYW6fslIPcUSp6ttOalml8Cglpxn67l/1:DDbzbdpZi
MUqslIvJblmKCglPn67P
 
PEiD..: - 
PEInfo: - 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Unknown! 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

JB · Answer

Oui oui j'ai désinstallé microsoft one care au profit d'antivir.

CHKDSK effectué
Concernant sfc /scannow, toujours le même problème. La commande me réclame le cd windows XP SP3 que je n'ai pas. Je n'ai que le cd d'installation de windows media center et il ne me le prend pas.

Dossier C:\JB1:
- fichier "CF9492" (de type fichier fichier CFXXE)
- fichier dirRoot
- fichier errTrap1
- fichier ViPev02

Dossier C:\JB13727J:
http://www.cijoint.fr/cj201005/cijnTfPfuy.doc
(je t'ai fait des imprim écran car le dossier était volumineux).
Je viens de recevoir tes dernières instructions. Je passe à ces dernières ???

JB · Answer

C'est fait.
Voilà le rapport combofix:
http://www.cijoint.fr/cj201005/cijljMLblG.txt
Et le rapport ZHPdiag:
http://www.cijoint.fr/cj201005/cijPQmkF6c.txt

plopus · Answer

oki,   


refait un scan GMER stp  et poste le rapport 

puis un scan rapide avec MBAM en ayant fait une mise a jour avec avant
et retente le MSE

plopus · Answer

salut

bon je commence a etre pessimiste pour ce mode sans echec  :(

peut tu heberger un nouveau rapport ZHPdiag pour voir si il y a evolutions ou non

JB · Answer

Salut plopus,

Le rapport ZHPdiag:
http://www.cijoint.fr/cj201005/cijVpF36m4.txt

Mais franchement, ne te prends pas la tête. S'il n'y a rien à faire, y a rien à faire !!!! T'en as fait déjà beaucoup et je te remercie encore une fois.

plopus · Answer

salut

tu peux desinstaller ton firefox (le 1er)  et installer la version 3
http://download.cdn.mozilla.net/pub/firefox/releases/3.6.3/win32/fr/Firefox%20Setup%203.6.3.exe


puis

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
(Sous Vista ou 7, en faisant un clic droit en tant qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :


 [HKCU\Software\?? ?? ???? ????? ??? ?? ????] 
 O44 - LFC:[MD5.F1FBA6185A6A2BC6456970914875078E] - 16/05/2010 - 12:24:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\PEV.exe   [256512]     
 O64 - Services: CurCS - (.not file.) - pxtdypow (pxtdypow)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PXTDYPOW 
 O64 - Services: CurCS - (.not file.) - pxtdypow (pxtdypow)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PXTDYPOW 
MBRFix

* Ok
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 

puis


Sous VISTA

==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
https://www.androidworld.fr/

* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.

---------------------------------------------------------------------------------


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    * Télécharge Toolscleaner sur ton Bureau
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
    * Double-clique sur ToolsCleaner2.exe et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse

puis

verfie la vulnerabilité de windows et aussi d'autre produits, tu desinstalle les ancienne version des logiciels que tu dois mettre a jour

- Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html

- Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/


puis purge ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information
puis creer un point de restauration sain avec sa https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

pour eviter ce genre de probleme, arrete emule, limewire (poubelle a virus) et autres P2P qui propage la plupart des virus


apres sa retante une manip chkdsk et sfc des fois que, desoler  je ne puis plus t'aider cela doit peut etre venir de la reparation de windows

@+

Virus Win32/Alureon.H

47 réponses

Votre réponse

Discussions similaires

Newsletters