Rootkit MBR:Alureon-K

Résolu
axel071721 -  
 g3n-h@ckm@n -
Bonjour,
je suis confronté depuis plusieurs semaines à un rootkit. Il est détecté par avast!, qui ne sait pas l'éliminer. J'ai essayé toute une batterie de logiciels susceptibles de m'en débarrasser (Malwarebytes'Anti-Malware, Spybot, AVG Anti-Rootkit-Free, SuperAntiSpyware...). Je suis même allé jusqu'à formater ma partition Windows, mais rien n'y fait.

Mon ordinateur tourne sous Windows XP.

Avast! me donne les informations suivantes concernant le rootkit:
- Nom du fichier = MBR: \\.\PHYSICALDRIVE0\Partition2
- Sévérité = Haute
- Etat = Menace : MBR:Alureon-K [Rtk]

Au secours...

18 réponses

  1. g3n-h@ckm@n
     
    salut

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    ou cette version renommée winlogon.exe :

    http://forums-fec.be/gen-hackman/winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    1
  2. axel071721
     
    A chaque fois que le logiciel arrive au contrôle du MBR, ça plante. J'ai essayé avec les trois versions, rien ne marche.
    0
  3. g3n-h@ckm@n
     
    heberge quand meme le rapport qui est dans c:\
    0
  4. axel071721
     
    Voilà le rapport, merci.

    http://pjjoint.malekal.com/files.php?id=20120405_p11d11c9l1015
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    salut je te redige un script il va sauter il est là :

     1    1    17-NTFS     15M   No    Yes  160,055,595       30,917  
    


    desinstalle superantispyware
    desinstalle java update 22
    desinstalle spybot il sert à rien

    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. g3n-h@ckm@n
       
      suite du précédent :

      relance winlogon et choisis script , une page vierge va s'ouvrir.

      selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
      ___________________________________________________
      Kill::

      Registry::
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "nwiz"=-
      "HP Software Update"=-
      ""=-
      [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
      [-HKLM\Software\BrowserChoice]

      folder::
      C:\Program Files\Spybot - Search & Destroy
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
      C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

      Unhide_Part::
      1

      Del_Part::
      1

      Mbr::

      clean::

      Reboot::

      ___________________________________________________

      colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

      puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

      des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

      poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
      0
  7. axel071721
     
    Merci, voilà le Pre_Script.txt :

    http://pjjoint.malekal.com/files.php?id=20120405_f6x13d8w7s9
    0
  8. axel071721
     
    Énorme, merci ! Mille fois merci !
    0
  9. g3n-h@ckm@n
     
    hello

    mets malwarebytes à jour et fais un scan complet , suppprime ce qu il trouve puis poste le rapport
    0
  10. axel071721
     
    Voilà :

    http://pjjoint.malekal.com/files.php?id=20120407_v6x6g15b5p5
    0
  11. g3n-h@ckm@n
     
    re

    ok si t'as plus de soucis on finalise si tu veux :)
    0
  12. guido
     
    Bonjour j' ai le même soucis et je ne suis pas très expérimenté de ce genre de choses que dois-je faire excatement: La même manip ou celle-ci est adaptée à chaque cas?
    Merci de vos réponses
    Christophe
    0
  13. g3n-h@ckm@n
     
    salut chaque cas peut etre different il faut t'ouvrir un sujet
    0
  14. GUIDO
     
    Merci de votre réponse, c' est fait avec le titre suivant :

    MBR: \\.\PHYSICALDRIVE0\Partition2

    Merci encore.
    0
    1. g3n-h@ckm@n
       
      repondu
      0
  15. math_b67 Messages postés 604 Statut Membre 74
     
    Salut,

    Est-ce que cette méthode de désinfection du virus s'applique pour chaque PC (le mien en l'occurrence) ?

    Où ai-je pu attraper ce virus ?

    Merci :)
    0
  16. g3n-h@ckm@n
     
    salut il faut t ouvrir un nouveau sujet

    chaque pc est diffferent donc ne pas reproduire
    0