==== trojan:dos/alureon====Résolu/Fermé

Question

Bonjour, 

Mon Pc est infecté de ce trojan.  Après plusieurs lectures sur des sites et le vôtre tout particulièrement, je constate qu'il ne s'enlève pas facilement.

J'ai dû reformater mon ordi  car je n'avais plus accès à rien.  Par la suite, Microsoft Security détecte toujours le trojan.  Son extension semble avoir changé.  1er Trojan:dos/alureon.a. et 2e change pour Trojan:dos/alureon.E

J'y vois aussi d'autres fichiers se nommant (par Microsoft Sec. Ess): 
Win64/alureon.gen!G
Win32/alureon.FA
WinNT/alureon.AA
Win64/alureon.gen!I

J'aimerais bien si qq pourrait m'aider.  Si c'est utile, j'ai fait un Pre_Scan:

https://pjjoint.malekal.com/files.php?id=20120110_i13r14m11r8k13

Merci beaucoup et super pour votre professionnalisme!

Configuration: Windows XP / Internet Explorer 8.0

g3n-h@ckm@n · Accepted Answer

ok alors on va l'avoir

colle ca :

command::
%Homedrive%\Kill'em\Mbrwiz.exe /del=1
%Homedrive%\Kill'em\mbrwiz.exe /list >> %Homedrive%\Pre_script.txt

puis poste le rapport en lien sur pjjoint ensuite

g3n-h@ckm@n · Answer

salut pre_scan n'est pas fait pour ce genre d'infection , je regarde quand meme le rappport ^^

g3n-h@ckm@n · Answer

fais voir ton dernier rapport de tdsskiller ?

tu as une partition cachée sur ton disque dur

g3n-h@ckm@n · Answer

fais voir le rapport de detection de l antivirus ?

g3n-h@ckm@n · Answer

il le detecte où ?

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

g3n-h@ckm@n · Answer

lol et oui normalement c'est 07 pour windows va falloir aller voir ca avec un cd de linux je pense ou j'ai peut -etre une solution remarque
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

BlueDevon · Answer

loll rien de facile!  comment je peux faire ça?

g3n-h@ckm@n · Answer

attends j ai peut-etre "plus simple"

BlueDevon · Answer

Un ami me disait que peut-être si j'enlevais la batterie de la carte mère... cela pourrait faire disparaître?? mais j'en doute

g3n-h@ckm@n · Answer

pas un brin :D

c'est un bout de code integré dans un petit secteur d'amorcage , bon j'ai trouvé comment le faire sauter

g3n-h@ckm@n · Answer

yes

glisse un fichier sur pre_scan , un page blanche devrait s'ouvrir

dedans tu colles ca :

Fixmbr::

uniquement ca :)

ensuite onglet fichier de ce bloc notes tu selectionnes enregistrer et pas enregistrer sous surtout

ensuite tu fermes

ton pc va redemarrer ,

g3n-h@ckm@n · Answer

pas grave prends -le ici

et oui il va pas laisser faire comme ca le bougre !! ^^

http://dl.dropbox.com/u/21363431/Pre_Script.exe

tu le mets sur ton bureau tu le lances , et ensuite tu fais comme indiqué avec la page blanche qui s'ouvrira

g3n-h@ckm@n · Answer

ensuite onglet fichier de ce bloc notes tu selectionnes enregistrer et pas enregistrer sous surtout

ensuite tu fermes

ton pc va redemarrer ,

g3n-h@ckm@n · Answer

normalement il doit redemarrer seul :)

g3n-h@ckm@n · Answer

doucement avec le mbr ! evite les manips sans certitude c est dangereux apres c'est plus compliqué s'il ne redemarre plus

g3n-h@ckm@n · Answer

bien donc il est sur le bureau c'est ok ?

g3n-h@ckm@n · Answer

non

on va verifier autrement

relance pre_script ppuis colle ca dedans :

command::
%Homedrive%\Kill'em\mbrwiz.exe /list >> %Homedrive%\Pre_script.txt

ensuite poste le rapport pre_script.txt que tu trouveras sur ton bureau en l'hebergeant sur http://pjjoint.malekal.com et donne le lien

g3n-h@ckm@n · Answer

oui oui peut importe le tout est de coller le texte dans la page blanche qui s'ouvre

g3n-h@ckm@n · Answer

bon on l'a pas eu on va faire autrement

mets ca dans le dossier c:\kill'em

http://dl.dropbox.com/u/21363431/fichiers/MbrFix.exe

ensuite réouvre pre_xxx pour avoir la page blanche puis colle ca :

command::
%Homedrive%\Kill'em\MbrFix.exe /drive 0 /partition 1 setpartitiontype 07
shutdown -r

et après le redemarrage tu refais ca :

https://forums.commentcamarche.net/forum/affich-24145602-trojan-dos-alureon#46

BlueDevon · Answer

Quand j'ai mis dans le dossier c:\kill'em, ça m'a demandé si je voulais remplacé celui existant.  J,ai dit oui. 

J'ai refait l'étape du pre_scan... je crois que cela a donné la même chose.  le bloc-note sur mon bureau: 

https://pjjoint.malekal.com/files.php?id=20120110_w6z8s15d13b14 

Il l'aurait mis sur le bureau? j'ai pas vu d'autre bloc note dans mon c:kill'em

Merci de ta patience... tu veux qu'on continue une autre fois??

g3n-h@ckm@n · Answer

non le rapport du bureau est automatiquement remplacé et ecrase le precedent 

bon il est encore là , coriace celui-là!!!! 

on va deja la mettre en non cachée ca ira peut etre mieux 

============================= 

colle ca : 

command:: 
%Homedrive%\Kill'em\Mbrwiz.exe /Unhide=1 
%Homedrive%\Kill'em\mbrwiz.exe /list >> %Homedrive%\Pre_script.txt  

puis poste le rapport en lien sur pjjoint ensuite

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

je crois que c est bon ^^

g3n-h@ckm@n · Answer

oui dis moi comment se passe le redemarrage

g3n-h@ckm@n · Answer

non laisse tomber spybot desinstalle-le c'est un veau

==============


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

bah internet pas obligé , c'est un copier coller ca , ca evite au gens de faire n importe quoi pendant le scan ^^

l antivirus tu peux ca evitera qu'il couine si mbam trouve quelque chose

g3n-h@ckm@n · Answer

moi aussi je vais me reposer il est 7h j'y ai passé la nuit mdr !!!

on aura encore du menage à faire demain pour finir

inutile de formater ton pc est sain maintenant :)

bonne nuit :)

g3n-h@ckm@n · Answer

hello ^^

bien si MSSE te dit plus rien non plus en scan complet on pourra finaliser avec un grand menage d'hiver :)

g3n-h@ckm@n · Answer

bonsoir content pour toi lol ^^ bien dormi merci et toi ? ^^ =========== Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujets intéressants à lire : https://www.luanagames.com/index.fr.html https://forum.malekal.com/viewtopic.php?t=13629&start= https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

g3n-h@ckm@n · Answer

non tu peux rester là jusqu'à la fin....pourquoi je sens mauvais ? ^^

g3n-h@ckm@n · Answer

ben il a pas supprime pre_scan et pre_script....

g3n-h@ckm@n · Answer

ok :)

BlueDevon · Answer

Vérification des erreurs du disque C ... très bien

Mais sur le E (externe), il est bloqué on dirait à l'étape 5

g3n-h@ckm@n · Answer

ah il va pas nous sortir un alureon de la dedans hein maintenant !!!!! ^^

g3n-h@ckm@n · Answer

hello :)

non c'est suffisant quoi que tu mettes , si tu dois etre infectée tu le seras quand meme

BlueDevon · Answer

Salut mec!  Merci pour tout tout tout :)

J'apprécie bcp la lecture... je sais maintenant comment mettre à jour les principaux programmes, le SE... c'est primordial.  J'ai découvert Secunia ainsi que quelques scan.  Ça sera bien pratique!

Bonne continuation à toi et à une prochaine peut-être
MERCI

g3n-h@ckm@n · Answer

de rien ca a été un plaisir pour moi aussi ce defi :)

==== trojan:dos/alureon====

37 réponses

Discussions similaires

Newsletters