*******Trojan:dos/alureon.a.*******

BlueDevon Messages postés 75 Statut Membre -  
 g3n-h@ckm@n -
Trojan:dos/alureon.a.

Bonjour,

Je suis maheureusement infecté par le Trojan:dos/alureon.a. J'ai lu bcp sur le sujet dans ce forum, mais il y a des étapes que je ne comprends pas. J'ai tenté de faire la solution de Pre_scan, mais cela ne semble pas fonctionner... je ne sais pas si je le fais correctement :S

J'ai tout désactivé, et scanné. Il est apparu un icone sur le bureau. J'ai scanné, mais à plusieurs reprises, j'avais un message... qui voulait dire 'introuvable" je crois. J'ai fait ''continué'' Mon ordi est rebooté seul.

J'ai renommé l'icône et re-scanné. Même déroulement.

J'ai coupé le dossier '' prefetch'' qui était dans windos et mis sur le bureau. Je l'ai renommé....

Ça marche pas!!! loll

Si quelqu'un pouvait m'aider svp,
un grand merci d'avance!

En attendant, je continue de lire sur le sujet et de tenter d'autres manoeuvre

5 réponses

  1. Utilisateur anonyme
     
    lu,

    tu peux commencer à mettre à jour ton pc : Windows XP / Internet Explorer 6.0
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      Parfait... je fais mes mises à jour, mais j'en ai pour un bout car je viens de reformater mon ordi. Lorsque ce sera terminé, je fais signe. MERCI

      p.s.: Internet explorer peut-être mis à jour version 8? ou absolument version 6?
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      Mes mises à jour de windows sont faites mais j'ai laissé internet version 6
      0
    3. BlueDevon Messages postés 75 Statut Membre
       
      J'ai mis la 8 finallement
      0
  2. BlueDevon Messages postés 75 Statut Membre
     
    Je continue mes démarches comme indiqué: https://forums.commentcamarche.net/forum/affich-22406686-trojan-dos-alureon-a#q=trojan%3Ados&cur=1&url=%2F

    le scan de TDSSKILLER révèle que tout est correct. Mais mon microsoft security essential indique le contraire.

    J'ai tenté de faire zhpdiag... mais il ne veut pas se faire et en plus lorsque je tente de retourner sur la page internet du site, internet ferme. Plus possible de réessayer...

    J'ai l'impression qu'après chaque tentative, ce fichu Troie me bloque la route... Est-ce un impasse? La solution est-elle tout simplement de changer mon disque dur?

    Avec RSIT, j'ai réussi à avoir des info bloc-notes:

    info.txt logfile of random's system information tool 1.09 2012-01-08 02:16:19

    ======Uninstall list======

    -->MsiExec /X{7F6D7FD9-648D-4DD9-BB6E-3990C675ECA4}
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Flash Player 11 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe -maintain activex
    Lexmark 810 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXBSUNST.EXE -NOLICENSE
    Lexmark Precision Photo-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\8\INTEL3~1\IDriver.exe /M{56F81937-C3B5-4C98-A260-E47B631709D7} /l1036 /z/U
    Microsoft Antimalware Service FR-FR Language Pack-->MsiExec.exe /X{32E9C1A5-0FDA-4483-987D-DBABF9CC1DD8}
    Microsoft Antimalware-->MsiExec.exe /X{05BFB060-4F22-4710-B0A2-2801A1B606C5}
    Microsoft Security Client FR-FR Language Pack-->MsiExec.exe /I{50779A29-834E-4E36-BBEB-B7CABC67A825}
    Microsoft Security Client-->MsiExec.exe /I{54B6DC7D-8C5B-4DFB-BC15-C010A3326B2B}
    Microsoft Security Essentials-->C:\Program Files\Microsoft Security Client\Setup.exe /x
    Mises à jour NVIDIA 1.5.20-->"C:\WINDOWS\system32\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\installer.1\NVI2.DLL",UninstallPackage Display.Update
    NVIDIA Drivers-->C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
    NVIDIA Logiciel système PhysX 9.11.0621-->"C:\WINDOWS\system32\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\installer.1\NVI2.DLL",UninstallPackage Display.PhysX
    NVIDIA nView 135.95-->"C:\WINDOWS\system32\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\installer.1\NVI2.DLL",UninstallPackage Display.NView
    NVIDIA nView Desktop Manager-->C:\Program Files\NVIDIA Corporation\nView\nViewSetup.exe -uninstall
    NVIDIA PhysX-->MsiExec.exe /X{7F6D7FD9-648D-4DD9-BB6E-3990C675ECA4}
    NVIDIA Pilote graphique 285.58-->"C:\WINDOWS\system32\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\installer.1\NVI2.DLL",UninstallPackage Display.Driver
    Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x40c -removeonly
    Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

    ======Security center information======

    AV: Microsoft Security Essentials

    ======System event log======

    Computer Name: CHANTAL
    Event Code: 1002
    Message: Le bail de l'adresse IP 192.168.0.100 pour la carte réseau dont l'adresse réseau est 0013D3AC25B8
    a été refusé par le serveur DHCP 192.168.2.1 (celui-ci a envoyé un message DHCPNACK).

    Record Number: 346
    Source Name: Dhcp
    Time Written: 20120107212513.000000-300
    Event Type: error
    User:

    Computer Name: CHANTAL
    Event Code: 7000
    Message: Le service MSICPL n'a pas pu démarrer en raison de l'erreur :
    Le fichier spécifié est introuvable.

    Record Number: 269
    Source Name: Service Control Manager
    Time Written: 20120107185449.000000-300
    Event Type: error
    User:

    Computer Name: CHANTAL
    Event Code: 7000
    Message: Le service MSICPL n'a pas pu démarrer en raison de l'erreur :
    Le fichier spécifié est introuvable.

    Record Number: 268
    Source Name: Service Control Manager
    Time Written: 20120107185449.000000-300
    Event Type: error
    User:

    Computer Name: CHANTAL
    Event Code: 7000
    Message: Le service MSICPL n'a pas pu démarrer en raison de l'erreur :
    Le fichier spécifié est introuvable.

    Record Number: 64
    Source Name: Service Control Manager
    Time Written: 20120107181324.000000-300
    Event Type: error
    User:

    Computer Name: CHANTAL
    Event Code: 7000
    Message: Le service MSICPL n'a pas pu démarrer en raison de l'erreur :
    Le fichier spécifié est introuvable.

    Record Number: 63
    Source Name: Service Control Manager
    Time Written: 20120107181324.000000-300
    Event Type: error
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=C:\Program Files\NVIDIA Corporation\PhysX\Common;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 47 Stepping 2, AuthenticAMD
    "PROCESSOR_REVISION"=2f02
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------
    0
  3. BlueDevon Messages postés 75 Statut Membre
     
    et l'autre message bloc-notes:

    Logfile of random's system information tool 1.09 (written by random/random)
    Run by C.Bordeleau at 2012-01-08 02:16:13
    Microsoft Windows XP Édition familiale Service Pack 3
    System drive C: has 70 GB (90%) free of 78 GB
    Total RAM: 1535 MB (70% free)

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 02:16:17, on 08/01/2012
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RunDLL32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\lxbscoms.exe
    C:\Documents and Settings\C.Bordeleau\Bureau\RSIT.exe
    C:\Program Files\trend micro\C.Bordeleau.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
    O4 - HKLM\..\Run: [LXBSCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBStime.dll,_RunDLLEntry@16
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-21-73586283-1715567821-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: lxbs_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbscoms.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    0
  4. alix
     
    Bonjour
    Tdss je t'ai trouvé un tuto de chez microsoft pour recommencer. Fais bien tout et dans l'ordre.
    Pour xp IE8 est conseillé pour avoir la mise à jour la plus récente, (IE6 est le minimum pour la plupart des antivirus) Désactive spybot mais supprimes-le carrément il peut rien pour toi.
    http://pages.videotron.com/g225/desinfection/rootkit_tdss.htm

    Le mieux serait qu'un helper spécialisé te guide pas à pas c'est une anguille ton virus.
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      Mes mises à jour sont faites et internet explo 8. Je n'ai pas de spybot. merci
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      Tout a été désactivé (sécurité et restauration sys). J'ai téléchargé TDss sur le bureau. J'ai ouvert un dossier sur le bureau. J'ai extrait dedans puis j'ai glissé le fichier .exe sur le bureau. J,ai fait faire le scan... encore rien trouvé.
      0
    3. BlueDevon Messages postés 75 Statut Membre
       
      ''Le mieux serait qu'un helper spécialisé te guide pas à pas "... t'avais raison. C'est le merveilleux helper g3n-h@ckm@n qui m'a sorti du pétrin!! Pas mal bon le gars... mon ordi est comme neuf loll
      0
    4. BlueDevon Messages postés 75 Statut Membre
       
      Salut toi! Tu es partout loll

      C'est que je n'aime pas les choses non terminées... et étant donné que je ne peux mettre ce topic comme résolue, j'ai tenue à le clore d'une certaine façon.

      Je reviendrai sûrement dans un autre topic puisque j'y ai pris goût... super intéressant le site à bien des niveaux.

      A+ alors!
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question