Gros probleme Virus alureon-K (rootkit) HELP Résolu/Fermé

Question

Bonjour, 

Hier j'ai chopé un P.... de virus nommé alureon-K[rtk] et un rootkit.

J'ai

Malekal_morte- · Answer

okay.
Fais ça :

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html  
Lances en option 2 (Suppression).  
Poste le rapport ici.  

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com


et Relance RogueKiller avec l'option 6 et poste le rapport ici.

Retente TDSSKiller plus haut.
Tente OTL.

Malekal_morte- · Answer

Télécharge XP Antispy : https://www.01net.com/telecharger/windows/Utilitaire/cryptage_et_securite/fiches/24733.html

Dans la liste, y a désactiver Windows Script Host.
Regarde si c'est coché, si oui tu décoches et valide.
Et relance Combofix.

blizz · Answer

pendant combofix j'ai eu quelques soucis, je sais pas si c grave ou pas.
les voila :

-pas de changement d'heure de l'horloge du PC
-pas de d"connexion automatique d'internet
-après avoir lancer combox (avant l'affichage de la fenêtre bleu), une fenêtre disant que deskboard.exe a rencontrés un problème et doit fermer
-pendant la préparation du rapport la sandbox d'avast ma afficher des fenêtre de lancement de ces fichiers : C:\combofix\pev.3xe lancé par c:\combox\CF21725.3xe et d'autres fichiers comme pev.exe et hidec
Achaque j'ai essayer les 3 options (lancer dans sandbox, lancer normal et annuler) mais elles revenait

voila le rapport de combofix

http://pjjoint.malekal.com/files.php?id=v13y7t8y13y14l14d5n13q8d7w8d5c8u14b7x5j10c14e7r11

Malekal_morte- · Answer

Désinstalle Conduit. 

Je crois pas que ton PC soit infecté. 
Eventuellement tu peux faire un scan avec Dr. Web CureIT : https://free.drweb.fr/?lng=fr 

Mais ça me semble correct. 
Si Avast! détecte des "trucs", faut dire quoi dans quoi.
Eventuellement activer les rapports : https://forum.malekal.com/viewtopic.php?t=26356&start=#p214599


SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

blizz · Answer

Salut,

j'ai toujours le même problème par rapport aux messages d'alerte, après quelques minutes de connexion sur une session, avast me dit qu'il a trouvé un rootkit  donc il le supprime et un fichier suspect que j'ignore. tout les deux ont viennent de : MBR\..\PHYSICALDRIVE 0

voici le rapprot avast :

je n'arrive pas a envoyer le fichier, soit le lien me dit erreur fichier vide soit quand je clique sur "envoyer le fichier" sa charge longtemps

et voici le rapport avast au scan démarrage :

24/04/2010 14:00
Analyse de tous les lecteurs locaux


Analyse interrompue
Nombre de dossiers parcourus : 514
Nombre de fichiers analysés : 3101
Nombre de fichiers infectés : 0

----------------------------------------
20/04/2011 09:09
Analyse de tous les lecteurs locaux


Analyse interrompue
Nombre de dossiers parcourus : 113
Nombre de fichiers analysés : 7895
Nombre de fichiers infectés : 0

----------------------------------------
20/04/2011 13:23
Analyse de tous les lecteurs locaux

Fichier C:\Program Files\OrangeHSS\Installation\AutoExtract\PACKAGE MULTIMODE.AEC|>Common\GC7X.cat Erreur 42125 {Archive ZIP corrompue.}
Nombre de dossiers parcourus : 17730
Nombre de fichiers analysés : 707984
Nombre de fichiers infectés : 0

----------------------------------------
23/06/2011 15:50
Analyse de tous les lecteurs locaux

Fichier C:\Program Files\OrangeHSS\Installation\AutoExtract\PACKAGE MULTIMODE.AEC|>Common\GC7X.cat Erreur 42125 {Archive ZIP corrompue.}
Nombre de dossiers parcourus : 16678
Nombre de fichiers analysés : 758562
Nombre de fichiers infectés : 0

----------------------------------------
18/11/2011 01:14
Analyse de tous les lecteurs locaux

Fichier MBR 0 est infecté par MBR:Alureon-K [Rtk]
Nombre de dossiers parcourus : 12226
Nombre de fichiers analysés : 79656
Nombre de fichiers infectés : 1

----------------------------------------
21/11/2011 16:05
Analyse de tous les lecteurs locaux

Fichier MBR 0 est infecté par MBR:Alureon-K [Rtk]
Fichier C:\Program Files\OrangeHSS\Installation\AutoExtract\PACKAGE MULTIMODE.AEC|>Common\GC7X.cat Erreur 42125 {Archive ZIP corrompue.}
Nombre de dossiers parcourus : 12232
Nombre de fichiers analysés : 683624
Nombre de fichiers infectés : 1

Merci d'avance

Malekal_morte- · Answer

Retente TDSSkiller donné en début de topic. 
(retélécharge le pour avoir la dernière version).

Sinon un des deux outils, voir s'il détecte qq chose. 
https://forum.malekal.com/viewtopic.php?t=31619&start= 
https://forum.malekal.com/viewtopic.php?t=33630&start= 


SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

blizz · Answer

TDSSKiller n'a toujours pas marcher (même probleme qu'avant), je crois que c'est au moment du dézippage, la barre de progression reste a 2% et se ferme.

Sinon j'ai essayer avec celui de symantec, il ma trouver un MBr et tout c passer comment dans ton topic.

est-ce bon maintenant ?

blizz · Answer

Ok. j'ai fais un scan avec avast, malwarebyte, otl et rogue, apparemment aucunes menaces détecter, voici le rapports :

avast :

impossible d'envoyer le fichier, peut etre est-il trop gros.

Malwarebyte :

http://pjjoint.malekal.com/files.php?id=f12d129h8q13v8h13g13j7u12e14s1010c10x15u14v6t13z10s15

OTL :

http://pjjoint.malekal.com/files.php?id=n8q7u14w14x13u6r13o13j8b5p10j5p14f15f12l10s11z13u7b10

rogue :

http://pjjoint.malekal.com/files.php?id=v13r6w11g8w10c10n5b10k8j10i12t7p15g11w9c13h12e11k6e7

Malekal_morte- · Answer

Ca doit être ok :)


Fais plus attention à l'avenir....

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/ 

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques :: 
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/    
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

blizz · Answer

ok. avant de te dire un grand merci, oui j'ai des questions a te poser vu que tu connais bien ce virus rootkit.

tout d'abord je me suis documenter a propos de ce virus (article, forum), et ce que j'ai lu m'inquiète, j'ai vu que ce virus servait a voler des données (mot de passe...), mais aussi a ouvrir des ports pour que d'autres pirates viennent foutre le b....

Est-ce que je risque quelque chose ?
Mon Pc est-il vraiment désinfecter ?
ont-il vraiment voler des documents ? (ex: mes images et document word)
Dois-je changer mes mot de passe mails ? (gmail, hotmail et orange)
Mes adresses ?

Merci d'avance.

P.s : j'ai encore d'autres questions, je te l'ai poserai petit a petit.

blizz · Answer

ok. donc plus de peur que de mal.

donc, En quoi consister ce virus ?

j'ai vu dans ce forum que certaines personne on été toucher par ce virus (du moins il avait le même nom), et qu'ils avait des problèmes avec certains de leur logiciel ou programmes, est-ce que peut être il a infecter certains des miens ? (jeux, périphérique USb...)

blizz · Answer

pour ce qui est des sites de banques je ne consulte pas. ouf

En fait moi et les autres utilisateurs du PC, nous utilisons nos identifiant et mot de passe pour se connecter a internet et pour consulter nos mails (gmail et orange). En plus de quelques forum d'entraide et de MSn. Donc a priori rien a craindre juste changer les mot de passe.

Vu que le virus démarrer avec le système et avant les autres programmes (antivirus...), est-il peut etre preferable de changer de processesseur et de disque Dur ?

blizz · Answer

ok. :)

comme je l'avais dis un peu au debut du topic, quand je disais que tout les documents (mes images, mes videos...) de tout les utilisateurs et certains icones avait disparues, en fait ils été cachés (je cliqué sur afficher les dossier cachés et il apparaissaient) mêmes les les documents qu'il y a dans C: (document partagés, document de utilisateur1, document de utilisateur 2...)

c'est une sorte de blague (pour te faire croire que ta tout perdu) ou c'était pour les "voler"?

Malekal_morte- · Answer

Non.  
C'est cette infection :https://forum.malekal.com/viewtopic.php?t=589&start=15#p250274
Mais là partie faux antivirus/défragmenteur a pas dû s'installer, ton antivirus a dû la bloquer.  

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html    
Lances en option 6.    

Ca devrait en remettre un peu mais pas tout.  

SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

blizz · Answer

En fait tout les fichiers qui sont normalement cachés (ex: local setting, temp...) ne sont plus cachés, en gros il n'y a plus aucun fichier caché tout est a "l'air libre".

je te post le rapport rogue :

http://pjjoint.malekal.com/files.php?id=u6y13r5g11s11k13q8l9q9j6s15q6t13g9b8e12g13v5r13t6

blizz · Answer

RE,

j'ai toujours ce problème de fichiers cachés, de plus j'ai essayer de faire des analyse antivirus en mode sans échec mais avast n'est pas démarrer même si je clique sur démarrer ou activer les agents.

et pour compléter ce bordel dans mon PC, certains dossier sont vides dans "démarrer - tous les programmes" (ex: firefox)

et j'ai des dossier nommé AlbumART_{AE11...} small qui se trouve un peu partout (dans mes images, mes musiques... :)

blizz · Answer

Et si je fais une restauration du système, peut être sa résoudrais tout mes problèmes ?

blizz · Answer

ok, en gros ce virus aura quand même laisser des traces :( tout ce bordel me soule.

Si je fais une restauration, aurais-je des problèmes après ? du genre "coucou revoilà le virus" ou avoir encore les mêmes problemes ou divers problèmes apparaissent etc... OU VOIR PIRE ENCORE :(

blizz · Answer

Aussi grave  que ce que j'ai (désoler avec questions idiote).

De plus ce "qu'on a fait" (en grande partie toi, et je t'en remercie) aurait servit a rien.

blizz · Answer

ok, surtout que j'ai vu que peut être les point de restauration pouvait être infecter.

blizz · Answer

Salut, me revoila

Impossible de faire une restauration système car tout le point de restauration ont été supprimés. La case "désactiver la restauration système sur tous les lecteurs" était coché. Hors je n'ai pas coché cette case, j'avais créer un point de restauration au cas ou il y aurait un problème et quelques jours après quand j'ai voulu faire le backup, plus rien.

Comment cela ce fait-il ?

Reste t-il un bout du virus ? ou quelqu'un (pirate) aurait-il accès a mon PC sans que je le sache ? :s

Gros probleme Virus alureon-K (rootkit) HELP

41 réponses

Discussions similaires