Virus alureon

pims -  
 gen-hackman -
Bonjour,

Ca fait environ un mois que je n'ai pas pu mettre Windows Update à jour (je suis sous Vista) à cause d'un code d'erreur 0 80072efe.J'ai fait des scans avec Avira Antivir qui ne m'a rien détecté, essayé les manip que m'a proposé le site de microsoft "que faire en cas de ..." sans succès et finalement c'est MSE qui m'a détecté le virus Alureon.

J'ai lu quelque part qu'on pouvait utiliser Combofix mais qu'il fallait l'avis de quelqu'un qui s'y connait. Etant assez nulle en informatique j'ai préféré poster ici ^^.

Merci à ceux qui pourront me répondre

29 réponses

  • 1
  • 2
Résumé de la discussion

Le souci principal concerne l'erreur Windows Update 0x80072EFE sur Windows Vista, associée à la détection d'un rootkit Alureon par MSE et à l'intérêt pour ComboFix sous supervision.
Les participants évoquent des outils comme ComboFix et ZHPFix, recommandant une sauvegarde et une exécution avec précautions, et soulignant que Alureon est un rootkit difficile à traiter.
Des échanges alternent entre préconisations techniques et mises en garde: usage prudent des outils, sauvegardes et vérifications des rapports, et attention aux risques liés à l'élévation de privilèges.
Pour compléter, certains répondants proposent Zeb Restore et la restauration de certaines clés de Registre pour rétablir des fonctions comme Windows Update et le menu démarrer.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour
    Aluréon est un rootkit pas facile à traiter

    Désactive l'UAC: contrôle de compte d'utilisateur

    Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs
    Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs:
    Une nouvelle fenêtre s'ouvre,décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK:
    Une demande s'affiche si vous voulez redémarrer votre ordinateur, clique sur redémarrer maintenant

    https://forums.cnetfrance.fr

    Avant de commencer, fait une sauvegarde de tous tes documents
    Attention, cet outil n'est pas à utiliser à la légère, et doit
    être recommandé que par une personne formée à cet outil

    Imprime la procédure

    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    tutoriel pour bien utiliser l'outil
    http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

    /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Clic droit sur ComboFix.exe, et sur exécuter en tant qu'administrateur
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie...Clique sur oui pour accepter
    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    4
    1. pims
       
      Bonjour,
      je sais que ce que je vais demander peut paraitre un peu stupide mais es-tu donc une "personne formée à cet outil"? Justement c'est parce que je n'étais pas sure que je puisse l'utiliser sans risque que je préfère demander
      merci d'avoir rép vite
      0
    2. gen-hackman
       
      salut je confirme tu peux y aller tranquille avec elle
      0
    3. Utilisateur anonyme
       
      Bien sûr, sinon je ne le recommenderai pas
      0
    4. pims
       
      je m'y mets tout de suite alors
      merci!
      0
    5. pims
       
      Combofix m'a affiché son rapport mais par contre je n'arrive pas à accéder au panneau de configuration, ni à réactiver mon antivirus . C'est marqué " Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression"
      Qu'est-ce que je peux faire?
      0
  2. valou76300 Messages postés 175 Date d'inscription   Statut Membre Dernière intervention   30
     
    Bonjour,

    MSE ne te le supprime pas ?
    0
    1. pims
       
      Bonjour, non il ne me le supprime pas. A chaque fois que je fais un nettoyage, que je redémarre et refait un scan il m'en retrouve un autre
      0
  3. Utilisateur anonyme
     
    Essaye déjà de poster le rapport pour voir
    Héberge le
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    le problème, c'est que je ne peux pas le lire
    0
  6. Utilisateur anonyme
     
    C'est bon
    Effectivement ComboFix a trouvé un fichier patché, et l'a remplacé
    automatiquement par un copie saine qu'il a trouvé
    Je dois partir, j'analyserai plus en détail le rapport ce soir vers 21H
    0
  7. pims
     
    Ah j'ai redémarré mon ordi et tout semble remarcher comme avant!
    merci beaucoup en tout cas
    0
  8. Utilisateur anonyme
     
    c:\windows\system32\drivers\sxviiful.sys
    c:\windows\system32\drivers\knmpbfmj.sys
    c:\windows\system32\drivers\ignlfozc.sys
    c:\windows\system32\drivers\ktjfwikm.sys
    c:\windows\system32\drivers\umcqwqoo.sys
    c:\windows\system32\drivers\wrecdped.sys


    Analyse sur Virus Total ces fichiers
    https://www.virustotal.com/gui/
    Clique sur parcourir
    Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
    Clique sur envoyer le fichier
    une fois le scan terminé, donne moi le résultat
    0
  9. pims
     
    le résultat est de 0/42 pour tous les fichiers
    0
  10. Utilisateur anonyme
     
    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    0
  11. pims
     
    J'ai télécharger le fichier mais lorsque je l'exécute c'est marqué
    "impossible d'exécuter le fichier
    Create Process a échoué; code 740
    L'opération demandée nécessite une élévation"

    ??

    Edit: je rectifie ca marche sur l'icone
    0
    1. pims
       
      Pour le rapport:
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijddkL0O5.txt
      0
  12. Utilisateur anonyme
     
    Copie les lignes suivantes en gras ci dessous, c'est à dire
    que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
    clic droit dessus>copier

    * Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
    ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
    tant qu'administrateur
    )

    [HKCU\Software\AppDataLow\Toolbar]
    [HKCU\Software\Soft2PC]
    [HKLM\Software\soft2PC]
    O43 - CFD:Common File Directory ----D- C:\Program Files\Soft2PC
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    * Clique sur l'icône représentant la lettre H, cela collera les lignes que tu
    as mis en mémoire
    * Clique sur OK, sur Tous, puis sur Nettoyer
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    0
  13. pims
     
    Rapport de ZHPFix v1.12.3138 par Nicolas Coolman, Update du 25/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-24-08-2010-23-53-38.txt
    Run by Claire at 24/08/2010 23:53:38
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\AppDataLow\Toolbar => Clé absente
    HKCU\Software\Soft2PC => Clé absente
    HKLM\Software\soft2PC => Clé absente

    ========== Valeur(s) du Registre ==========
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Dossier(s) ==========
    C:\Program Files\Soft2PC => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    3 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Dossier(s)

    End of the scan
    0
  14. Utilisateur anonyme
     
    Télécharge malwarebytes' anti-malware
    http://mbam.malwarebytes.org/program/mbam-setup.exe
    Enregistre le sur le bureau
    Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
    Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    Il va se mettre à jour une fois faite
    Va dans l'onglet recherche
    Sélectionne exécuter un examen complet
    Clique sur rechercher
    Le scan démarre
    A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
    Clique sur afficher les résultats pour afficher les objets trouvés
    Clique sur OK pour pousuivre
    Si des malwares ont été détectés, cliquer sur afficher les résultats
    Sélectionne tout (ou laisser coché)
    Clique sur supprimer la sélection
    Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
    copie dans la quarantaine
    Malewarebytes va ouvrir le bloc-note et y copier le rapport
    Redémarre le PC
    Une fois redémarré, double-clique sur Malewarebytes
    Va dans l'onglet rapport/log
    Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
    bloc-note puis sur sélectionner tout
    Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
    Clic droit dans le cadre de la réponse et coller

    0
    1. pims
       
      pour l'examen complet je sélectionne tous les lecteurs ou que le C?
      0
  15. Utilisateur anonyme
     
    si c'est complet, tu fait tout
    0
  16. pims
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4473

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18943

    25/08/2010 01:46:16
    mbam-log-2010-08-25 (01-46-16).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|)
    Elément(s) analysé(s): 249486
    Temps écoulé: 1 heure(s), 27 minute(s), 15 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Claire\AppData\Roaming\Soft2PC\Software\software.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\Users\Claire\AppData\Roaming\Soft2PC\Software\softwareHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    0
  17. Utilisateur anonyme
     
    Bonjour
    Vide la quarantaine de Malwarebytes
    Je voulais savoir comment ce comporte le PC ?
    0
  18. pims
     
    Bonsoir
    Le PC marche normalement, c'est juste que pour les mises à jour de Windows Update je n'ai pas pu en mettre 33 à jour à cause d'une autre erreur 80070490...
    Merci beaucoup en tout cas de m'avoir aidée à virer ce virus =)
    0
  19. Utilisateur anonyme
     
    Télécharge Zeb Restore
    http://telechargement.zebulon.fr/zeb-restore.html
    Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

    Voici les éléments qui peuvent être restaurés : coche la ligne en gras
    - RegEdit : réactive l'accès à RegEdit
    - Clés RUN : réactive le lancement de programmes par clés RunXXX
    - Bouton Arrêter : rétablit le bouton Arrêter
    - Windows Update : rétablit la fonction Windows Update
    - Gestionnaire des tâches : réactive le gestionnaire des tâches
    - Panneau de configuration : réactive le Panneau de configuration
    - Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
    - Policies : remet en place des éléments désactivés par "Policies"
    - Bureau : réactive le Bureau
    - Réparation IE : répare Internet Exploreur (pages de recherche)
    - Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
    - Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
    - Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
    - Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
    0
  • 1
  • 2