Alureon-k

Résolu
clarinette547 Messages postés 1 Statut Membre -  
 clarinette547 -
Bonjour,

Avast me trouve le virus alureon-k. il cause déjà pas mal de dégâts sur mon PC, surtout sur les performances, ce qui le rend presque inutilisable. Je ne sais pas comment m'en débarrasser. Est-ce que quelqu'un peut m'aider?

Je suis sur win XP

merci d'avance pour vos retours,
Claire

21 réponses

  • 1
  • 2
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    C'est un live cd Parted Magic que tu as utilisé, non ?

    1) Sur la ligne /dev/sda1
    Clic-droit > Manage Flags
    Coche la case "Boot"

    2) Referme tout et éteint le système.
    Redémarre sur Windows en enlevant le CD

    Si Windows redémarre normalement et sans problème, retourne sous Parted Magic

    1) Sélectionne la ligne /dev/sda2
    Choisir Delete > Apply

    2) Referme tout et éteint le système.
    Redémarre sur Windows en enlevant le CD

    3) Fait le scan avec TDSSKiller comme indiqué ici :
    https://forums.commentcamarche.net/forum/affich-25369493-alureon-k#1

    A +
    1
    1. clarinette547
       
      Oui j'ai utilisé parted magic.
      J'ai suivi la procédure, tout s'est bien passé. Comme indiqué dans la procédure, j'ai mis le rapport tdsskiller (qui maintenant se lance) à cet endroit:
      http://cjoint.com/?0FqbbthsDXN

      Claire
      0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok c'est parfait :)

    Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    netsvcs 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\Tasks\*.* /s
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A demain

    1
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    En novembre dernier, tu avais utilisé ComboFix, pour quelle infection ?
    Dans le dossier download, je vois un fichier winologon.exe, merci de me confirmer qu'il s'agit d'un outil renommé (roguekiller, pre-scan, etc...)

    == == == == ==

    1. Désinstalle Spybot S&D, logiciel obsolète et qui risque de gêner la désinfection :

    Désactive le module Tea Timer
    ● Dé-vaccine
    ● Désinstalle

    2. Désinstalle si possible SpeedyPC Pro
    https://www.mywot.com/en/scorecard/speedypc.com/

    3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    Poste le rapport, A +

    1
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    ComboFix est un outil très puissant à ne pas utiliser à la légère.

    == == == == == == == == == == == == == == == == == == == == == ==

    Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

    == == == == == == == == == == == == == == == == == == == == == ==

    Avis aux utilisateurs de l'antivirus Avast! , ne pas exécuter OTL dans la sandbox.

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    2. Effectue un examen rapide avec Malwarebytes qui est déjà installé sur ton système. Le mettre à jour avant et supprimer la sélection.

    3. Héberge les rapports et poste les liens.

    A +
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Parfait,

    == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

    1. Relance AdwCleaner > Clique sur Désinstallation

    2. Lance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    :commands
    [clearallrestorepoints]

    ● Clique sur le bouton Correction.

    3. Relance OTL
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    == == == == == == == == MISES A JOUR == == == == == == == ==

    Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

    https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

    !! Décoche les cases proposant des logiciels partenaires pendant les installations !!

    Désinstalle les anciennes versions de Java si tu en as encore installées.
    https://www.java.com/fr/download/help/remove_olderversions.html

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bon weekend
    1
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Alureon, c'est du sérieux.

    1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    ● Clique sur Start scan.
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
    Conserve l'action proposée par défaut par l'outil
    ▸ Pour TDSS.tdl2 : l'option Delete sera cochée.
    ▸ Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
    ▸ Pour "Suspicious object" laisse sur "Skip"
    ● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
    ● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    2. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
  8. clarinette547
     
    Bonjour et merci,
    Je télécharge tdsskiller mais il ne se lance pas... J'ai suspendu mon antivirus au
    cas où mais il ne se passe toujours rien..
    0
    1. g3n-h@ckm@n
       
      bonsoir à vous c'est possible de savoir à quel endroit il le detecte ?
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Possible que l'infection empêche l'outil de fonctionner.

    1. Télécharge MBRScan (de Eric_71) sur ton Bureau.

    ● Lance MbrScan.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur le bouton "Report"

    Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécéssaire.

    2. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    Juste pour suivre le sujet, ça m'intéresse !
    Salut @kalimusic et bonne désinfection ;o)
    0
  11. clarinette547
     
    MbrScan a fonctionné, voici le lien:
    http://cjoint.com/?0Fmw7uI6fiR
    0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir juju,

    g3n est dans le coin aussi ;)

    A +
    0
    1. g3n-h@ckm@n
       
      Device\Harddisk0\Partition2 10.33 Mo 0x17 Hidden HPFS/NTFS __ BOOTABLE __

      10 Mo !! mais c'est enorme !! :D
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      oui, pour l'instant j'avais vu 2.83 Mo au maximum
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      je viens de voir plus gros cette aprem :D

      3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 156232125 | Size: 8 Mo
      http://www.commentcamarche.net/forum/affich-25357251-rootkit-mbr-alureor#7
      0
    4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      ;o
      0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    clarinette547

    L'infection a crée une partition cachée dans le MBR.
    Il faut passer par un CD Live pour la supprimer sans dommage.

    Télécharge Ubuntu ici => https://ubuntu.com/
    Et grave le CD au format .ISO et modifie l'ordre du démarrage du BIOS
    tuto : http://www.01audio-video.com/live-cd-linux-ubuntu.htm
    Choisir d'essayer Ubuntu

    Un fois sur le bureau, lance Gparted :
    Application > Système > Administration > Éditeur de partition
    Fait une copie d'écran, héberge l'image sur par exemple : http://imagesup.org/ et donne le lien.

    A +
    0
  14. g3n-h@ckm@n
     
    pre_scan le degage ca...pas besoin d'ubuntu normalement
    0
  15. clarinette547
     
    Ok merci, je teste la solution ubuntu demain soir et vous tiens au courant. A moins qu'il y ait moyen de faire sans (pre_scan)?
    A+
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Il y a plusieurs façon de faire, si tu veux utiliser l'outil de g3n, aucun soucis.
    Il te guideras, demande lui.

    Bonne soirée
    0
    1. clarinette547
       
      Bonsoir,
      J ai eu quelques soucis avec l installation de ubuntu donc je suis arrivee a lancer gparted autrement, l image est la

      http://imagesup.org/images10/1339798093-gparted.jpg

      Claire
      0
  17. clarinette547
     
    Voici les liens vers les fichiers:
    OTL.txt:
    http://cjoint.com/?0FqbKQ3O63L

    Extras.txt
    http://cjoint.com/?0FqbJlu6X1Z

    A demain
    0
  18. clarinette547
     
    + Concernant combofix, je ne me souviens plus vraiment de l'infection, c'était déjà en rapport avec Babylon toolbar que je retrouve dans le rapport ci-dessous. En tout cas ça n'a pas été bien traité.
    Et pour winologon je l'ai téléchargé sans finalement l'utiliser.

    + J'ai suivi toutes tes instructions. voici le rapport:

    # AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 10:05:03
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : portable - PORTABLE-D4D113
    # Exécuté depuis : C:\Documents and Settings\portable\Mes documents\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\DOCUME~1\portable\LOCALS~1\Temp\boost_interprocess
    Dossier Supprimé : C:\Program Files\Fichiers communs\spigot
    Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\b
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v12.0 (fr)

    Nom du profil : default
    Fichier : C:\Documents and Settings\portable\Application Data\Mozilla\Firefox\Profiles\ffpwnkz8.default\prefs.js

    C:\Documents and Settings\portable\Application Data\Mozilla\Firefox\Profiles\ffpwnkz8.default\user.js ... Supprimé !

    Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
    Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "somoto");
    Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789");
    Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "1c01478200000000000054675353df0d");
    Supprimée : user_pref("extensions.BabylonToolbar_i.id", "1c01478200000000000054675353df0d");
    Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15352");
    Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
    Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
    Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
    Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
    Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
    Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.170:00:52");
    Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");

    -\\ Google Chrome v19.0.1084.56

    Fichier : C:\Documents and Settings\portable\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    Fichier : C:\Documents and Settings\Administrateur.PORTABLE-D4D113\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [5234 octets] - [16/06/2012 10:05:03]

    ########## EOF - C:\AdwCleaner[S1].txt - [5362 octets] ##########
    0
  19. clarinette547
     
    Voici les rapports:
    Lien OTL: http://cjoint.com/?0Fqooy9PX6L
    Lien malwarebytes: http://cjoint.com/?0FqordJ1oDN

    A+
    0
  20. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Comment va ton pc maintenant ?

    A +
    0
  21. clarinette547
     
    Beaucoup mieux!! Je ne le reconnais plus et me rends compte à quel point il était lent....

    Merci beaucoup pour ton aide!

    Claire
    0
  • 1
  • 2