==== trojan:dos/alureon====

Résolu
BlueDevon Messages postés 75 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Mon Pc est infecté de ce trojan. Après plusieurs lectures sur des sites et le vôtre tout particulièrement, je constate qu'il ne s'enlève pas facilement.

J'ai dû reformater mon ordi car je n'avais plus accès à rien. Par la suite, Microsoft Security détecte toujours le trojan. Son extension semble avoir changé. 1er Trojan:dos/alureon.a. et 2e change pour Trojan:dos/alureon.E

J'y vois aussi d'autres fichiers se nommant (par Microsoft Sec. Ess):
Win64/alureon.gen!G
Win32/alureon.FA
WinNT/alureon.AA
Win64/alureon.gen!I

J'aimerais bien si qq pourrait m'aider. Si c'est utile, j'ai fait un Pre_Scan:

https://pjjoint.malekal.com/files.php?id=20120110_i13r14m11r8k13

Merci beaucoup et super pour votre professionnalisme!

37 réponses

  • 1
  • 2
Résumé de la discussion

Le problème central est une infection par le cheval de Troie Alureon sous Windows XP, détectée malgré le formatage et la persistance par Microsoft Security, avec des extensions et noms de fichiers qui évoluent. Pour nettoyer efficacement, des outils tels que Malwarebytes (mise à jour avant l’analyse complète) sont recommandés et il faut déconnecter les applications et laisser le scan terminer sans intervention. En cas de doute, suivre rigoureusement les rapports générés par l’outil et procéder à la suppression des éléments infectés, puis, si nécessaire, redémarrer et vérifier l’intégrité du système via un nouveau balayage. D'autres éléments utiles consistent à évaluer les partitions et à vérifier la présence de composants cachés, car certaines variantes d'Alureon peuvent masquer des fichiers système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    ok alors on va l'avoir

    colle ca :

    command::
    %Homedrive%\Kill'em\Mbrwiz.exe /del=1
    %Homedrive%\Kill'em\mbrwiz.exe /list >> %Homedrive%\Pre_script.txt


    puis poste le rapport en lien sur pjjoint ensuite
    2
  2. g3n-h@ckm@n
     
    non laisse tomber spybot desinstalle-le c'est un veau

    ==============

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    2
    1. BlueDevon Messages postés 75 Statut Membre
       
      quand tu dit: déconnecte toi et ferme toutes les applicaitons en cours.... ça veut dire de se déconnecter d'internet aussi? et stopper tout logiciel antivirus et firewall? pendant l'analyse du malware
      0
  3. g3n-h@ckm@n
     
    salut pre_scan n'est pas fait pour ce genre d'infection , je regarde quand meme le rappport ^^

    1
  4. g3n-h@ckm@n
     
    fais voir ton dernier rapport de tdsskiller ?

    tu as une partition cachée sur ton disque dur
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      ok je fais tdsskiller (qui me donne toujours ''normal'') et non, je n'ai pas de partition cachée

      Merci infini..... je poste dès que possible le rapport de tdsskiller
      0
    2. g3n-h@ckm@n
       
      si tu as une partition cachée c'est pas une question mais une affirmation

      Disk: 0   Size= 78G
       Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
       --- ------ ---------- ---- ------ ---- ------------ ------------
        0    0    07-NTFS     78G   Yes   No            63  160,055,532
        1    1    17-NTFS     15M   No    Yes  160,055,595       30,917
      
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    fais voir le rapport de detection de l antivirus ?
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      ok une minute
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      je sais pas ou obtenir et je peux pas faire copier coller (micro security ess) Y-a-t-il un moyen?
      0
  7. g3n-h@ckm@n
     
    il le detecte où ?
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      ça ne me le dit pas. J'ai juste le détail: Trojan:dos/alureon.E

      peut-être je pourrais analyser avec un autre anti virus?
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      ça dit :

      Élément: boot://./PHYSICALDRIVEO/ Partition 1 (type 17)
      0
  8. g3n-h@ckm@n
     
    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
    =====================================================


    Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Combofix

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage
    de l'outil.
    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur combofix renommé

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!


    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      se pourrait-il que la partition cachée hébergerait le trojan?
      0
    2. g3n-h@ckm@n
       
      regarde ce que tu me donnes comme partition pour alureon , et regarde plus haut laquelle est cachée :)
      0
    3. BlueDevon Messages postés 75 Statut Membre
       
      ouin... c'est logique (type 17)!!
      0
  9. g3n-h@ckm@n
     
    lol et oui normalement c'est 07 pour windows va falloir aller voir ca avec un cd de linux je pense ou j'ai peut -etre une solution remarque
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  10. BlueDevon Messages postés 75 Statut Membre
     
    loll rien de facile! comment je peux faire ça?
    0
  11. g3n-h@ckm@n
     
    attends j ai peut-etre "plus simple"

    0
  12. BlueDevon Messages postés 75 Statut Membre
     
    Un ami me disait que peut-être si j'enlevais la batterie de la carte mère... cela pourrait faire disparaître?? mais j'en doute
    0
  13. g3n-h@ckm@n
     
    pas un brin :D

    c'est un bout de code integré dans un petit secteur d'amorcage , bon j'ai trouvé comment le faire sauter

    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      hoho!
      0
  14. g3n-h@ckm@n
     
    yes

    glisse un fichier sur pre_scan , un page blanche devrait s'ouvrir

    dedans tu colles ca :

    Fixmbr::

    uniquement ca :)

    ensuite onglet fichier de ce bloc notes tu selectionnes enregistrer et pas enregistrer sous surtout

    ensuite tu fermes

    ton pc va redemarrer ,

    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      lorsque je glisse un fichier sur pre_scan, ça me demande d'exécuter... et quand j'exécute, ça me dit que windows ne trouve pas
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      ne trouve pas C:/kill'em... l'aurais-je effacé?
      0
  15. g3n-h@ckm@n
     
    pas grave prends -le ici

    et oui il va pas laisser faire comme ca le bougre !! ^^

    http://dl.dropbox.com/u/21363431/Pre_Script.exe

    tu le mets sur ton bureau tu le lances , et ensuite tu fais comme indiqué avec la page blanche qui s'ouvrira
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      merci... j'essaie
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      c'est pre_script... c'est pas la même chose je pense
      0
    3. g3n-h@ckm@n
       
      non en fait en temps normal quand on glisse un ficher et que cela fonctionne , lol ^^ , pre_scan installe pre_script dans le dossier c:\kill'em et le lance automatiquement

      il est integré dans la compilation de pre_scan si tu préfères
      0
    4. BlueDevon Messages postés 75 Statut Membre
       
      je l'ai trouvé pre_scan.

      Ma question c'est après avoir collé, dois-je enregistrer sous ou ne pas enregistrer?
      0
  16. g3n-h@ckm@n
     
    ensuite onglet fichier de ce bloc notes tu selectionnes enregistrer et pas enregistrer sous surtout

    ensuite tu fermes

    ton pc va redemarrer ,
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      c'est fait. j'attend de voir s'il va redémarrer seul ou si c'est moi qui le redémarre. Je reviens
      0
  17. g3n-h@ckm@n
     
    normalement il doit redemarrer seul :)
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      c'est moi qui l'ai redémarrer...
      0
    2. g3n-h@ckm@n
       
      ok bon c'est bon il est revenu sur le bureau donc ?
      0
    3. BlueDevon Messages postés 75 Statut Membre
       
      je l'ai refait et là ça l'a marché tout seul!!! il s'est fermé
      0
    4. BlueDevon Messages postés 75 Statut Membre
       
      je refais un scan pour voir si cette saleté est partie??
      0
  18. g3n-h@ckm@n
     
    doucement avec le mbr ! evite les manips sans certitude c est dangereux apres c'est plus compliqué s'il ne redemarre plus
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      c'est que le logiciel scan était en pause au lieu d'être fermé. J'ai refait la démarche pareille et là il est redémarré seul
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      Un p'tit scan maintenant?
      0
  19. g3n-h@ckm@n
     
    non

    on va verifier autrement

    relance pre_script ppuis colle ca dedans :

    command::
    %Homedrive%\Kill'em\mbrwiz.exe /list >> %Homedrive%\Pre_script.txt


    ensuite poste le rapport pre_script.txt que tu trouveras sur ton bureau en l'hebergeant sur http://pjjoint.malekal.com et donne le lien
    0
    1. BlueDevon Messages postés 75 Statut Membre
       
      tout a l'heure, je l'avais fait avec pre_scan et non pre_script
      0
    2. BlueDevon Messages postés 75 Statut Membre
       
      je viens de faire avec pre_script (copier coller sur page blanche) je vois que qq chose s'est passé, mais j'ai pas de page text
      0
  • 1
  • 2