Sujet Précédent Sujet Suivant

Alureon-k

Résolu/Fermé
clarinette547 Messages postés 1 Date d'inscription mardi 12 juin 2012 Statut Membre Dernière intervention 12 juin 2012 - 12 juin 2012 à 21:34
 clarinette547 - 16 juin 2012 à 15:53
Bonjour,

Avast me trouve le virus alureon-k. il cause déjà pas mal de dégâts sur mon PC, surtout sur les performances, ce qui le rend presque inutilisable. Je ne sais pas comment m'en débarrasser. Est-ce que quelqu'un peut m'aider?

Je suis sur win XP

merci d'avance pour vos retours,
Claire

A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 juin 2012 à 00:42
Bonsoir,

C'est un live cd Parted Magic que tu as utilisé, non ?

1) Sur la ligne /dev/sda1
Clic-droit > Manage Flags
Coche la case "Boot"

2) Referme tout et éteint le système.
Redémarre sur Windows en enlevant le CD

Si Windows redémarre normalement et sans problème, retourne sous Parted Magic

1) Sélectionne la ligne /dev/sda2
Choisir Delete > Apply

2) Referme tout et éteint le système.
Redémarre sur Windows en enlevant le CD

3) Fait le scan avec TDSSKiller comme indiqué ici :
https://forums.commentcamarche.net/forum/affich-25369493-alureon-k#1

A +
1
clarinette547
16 juin 2012 à 01:04
Oui j'ai utilisé parted magic.
J'ai suivi la procédure, tout s'est bien passé. Comme indiqué dans la procédure, j'ai mis le rapport tdsskiller (qui maintenant se lance) à cet endroit:
http://cjoint.com/?0FqbbthsDXN

Claire
0
Réponse 2 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 juin 2012 à 01:13
ok c'est parfait :)

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface principale s'ouvre.
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
CREATERESTOREPOINT

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A demain

1
Réponse 3 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 juin 2012 à 09:24
Bonjour,

En novembre dernier, tu avais utilisé ComboFix, pour quelle infection ?
Dans le dossier download, je vois un fichier winologon.exe, merci de me confirmer qu'il s'agit d'un outil renommé (roguekiller, pre-scan, etc...)

== == == == ==

1. Désinstalle Spybot S&D, logiciel obsolète et qui risque de gêner la désinfection :

Désactive le module Tea Timer
● Dé-vaccine
● Désinstalle

2. Désinstalle si possible SpeedyPC Pro
https://www.mywot.com/en/scorecard/speedypc.com/

3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
● Lance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

Poste le rapport, A +

1
Réponse 4 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 juin 2012 à 11:11
ok,

ComboFix est un outil très puissant à ne pas utiliser à la légère.

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

== == == == == == == == == == == == == == == == == == == == == ==

Avis aux utilisateurs de l'antivirus Avast! , ne pas exécuter OTL dans la sandbox.

== == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

2. Effectue un examen rapide avec Malwarebytes qui est déjà installé sur ton système. Le mettre à jour avant et supprimer la sélection.

3. Héberge les rapports et poste les liens.

A +
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 juin 2012 à 14:39
Parfait,

== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner > Clique sur Désinstallation

2. Lance OTL

● Dans la partie "Personnalisation", copie/colle : 

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

3. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau


== == == == == == == == MISES A JOUR == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bon weekend
1
Réponse 6 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 21:40
Bonsoir,

Alureon, c'est du sérieux.

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

● Lance TDSSKiller.exe
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
Conserve l'action proposée par défaut par l'outil
▸ Pour TDSS.tdl2 : l'option Delete sera cochée.
▸ Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
▸ Pour "Suspicious object" laisse sur "Skip"
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +
0
Réponse 7 / 21
clarinette547
12 juin 2012 à 22:50
Bonjour et merci,
Je télécharge tdsskiller mais il ne se lance pas... J'ai suspendu mon antivirus au
cas où mais il ne se passe toujours rien..
0
Utilisateur anonyme
12 juin 2012 à 22:53
bonsoir à vous c'est possible de savoir à quel endroit il le detecte ?
0
Réponse 8 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 22:54
ok,

Possible que l'infection empêche l'outil de fonctionner.

1. Télécharge MBRScan (de Eric_71) sur ton Bureau.

● Lance MbrScan.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur le bouton "Report"

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécéssaire.

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +
0
Réponse 9 / 21
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 795
12 juin 2012 à 22:55
Hello,

Juste pour suivre le sujet, ça m'intéresse !
Salut @kalimusic et bonne désinfection ;o)
0
Réponse 10 / 21
clarinette547
12 juin 2012 à 23:00
MbrScan a fonctionné, voici le lien:
http://cjoint.com/?0Fmw7uI6fiR
0
Réponse 11 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 23:01
Bonsoir juju,

g3n est dans le coin aussi ;)

A +
0
Utilisateur anonyme
12 juin 2012 à 23:03
Device\Harddisk0\Partition2 10.33 Mo 0x17 Hidden HPFS/NTFS __ BOOTABLE __

10 Mo !! mais c'est enorme !! :D
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 23:08
oui, pour l'instant j'avais vu 2.83 Mo au maximum
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 795
12 juin 2012 à 23:10
je viens de voir plus gros cette aprem :D

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 156232125 | Size: 8 Mo
http://www.commentcamarche.net/forum/affich-25357251-rootkit-mbr-alureor#7
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 23:12
;o
0
Réponse 12 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 23:13
clarinette547

L'infection a crée une partition cachée dans le MBR.
Il faut passer par un CD Live pour la supprimer sans dommage.

Télécharge Ubuntu ici => https://ubuntu.com/
Et grave le CD au format .ISO et modifie l'ordre du démarrage du BIOS
tuto : http://www.01audio-video.com/live-cd-linux-ubuntu.htm
Choisir d'essayer Ubuntu

Un fois sur le bureau, lance Gparted :
Application > Système > Administration > Éditeur de partition
Fait une copie d'écran, héberge l'image sur par exemple : http://imagesup.org/ et donne le lien.

A +
0
Réponse 13 / 21
Utilisateur anonyme
12 juin 2012 à 23:14
pre_scan le degage ca...pas besoin d'ubuntu normalement
0
Réponse 14 / 21
clarinette547
12 juin 2012 à 23:22
Ok merci, je teste la solution ubuntu demain soir et vous tiens au courant. A moins qu'il y ait moyen de faire sans (pre_scan)?
A+
0
Réponse 15 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
12 juin 2012 à 23:24
Il y a plusieurs façon de faire, si tu veux utiliser l'outil de g3n, aucun soucis.
Il te guideras, demande lui.

Bonne soirée
0
clarinette547
16 juin 2012 à 00:16
Bonsoir,
J ai eu quelques soucis avec l installation de ubuntu donc je suis arrivee a lancer gparted autrement, l image est la

http://imagesup.org/images10/1339798093-gparted.jpg

Claire
0
Réponse 16 / 21
clarinette547
16 juin 2012 à 01:37
Voici les liens vers les fichiers:
OTL.txt:
http://cjoint.com/?0FqbKQ3O63L

Extras.txt
http://cjoint.com/?0FqbJlu6X1Z

A demain
0
Réponse 17 / 21
clarinette547
16 juin 2012 à 10:20
+ Concernant combofix, je ne me souviens plus vraiment de l'infection, c'était déjà en rapport avec Babylon toolbar que je retrouve dans le rapport ci-dessous. En tout cas ça n'a pas été bien traité.
Et pour winologon je l'ai téléchargé sans finalement l'utiliser.

+ J'ai suivi toutes tes instructions. voici le rapport:


# AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 10:05:03
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : portable - PORTABLE-D4D113
# Exécuté depuis : C:\Documents and Settings\portable\Mes documents\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\DOCUME~1\portable\LOCALS~1\Temp\boost_interprocess
Dossier Supprimé : C:\Program Files\Fichiers communs\spigot
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v12.0 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\portable\Application Data\Mozilla\Firefox\Profiles\ffpwnkz8.default\prefs.js

C:\Documents and Settings\portable\Application Data\Mozilla\Firefox\Profiles\ffpwnkz8.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "somoto");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=100789");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "1c01478200000000000054675353df0d");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "1c01478200000000000054675353df0d");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15352");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb5");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.170:00:52");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");

-\\ Google Chrome v19.0.1084.56

Fichier : C:\Documents and Settings\portable\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Documents and Settings\Administrateur.PORTABLE-D4D113\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [5234 octets] - [16/06/2012 10:05:03]

########## EOF - C:\AdwCleaner[S1].txt - [5362 octets] ##########
0
Réponse 18 / 21
clarinette547
16 juin 2012 à 14:19
Voici les rapports:
Lien OTL: http://cjoint.com/?0Fqooy9PX6L
Lien malwarebytes: http://cjoint.com/?0FqordJ1oDN

A+
0
Réponse 19 / 21
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 juin 2012 à 14:21
ok,

Comment va ton pc maintenant ?

A +
0
Réponse 20 / 21
clarinette547
16 juin 2012 à 14:37
Beaucoup mieux!! Je ne le reconnais plus et me rends compte à quel point il était lent....

Merci beaucoup pour ton aide!

Claire
0

Discussions similaires

convertir en k€
domi -
kevinfive -

2 réponses
conversion d'un salaire en euros en kilo euro
Sylvie -
pseudo -

4 réponses
convertion d'euros en ke
cycy -
aza -

10 réponses
conversion de ke en euros
lolo -
ludobabs -

3 réponses
Rendre un montant en Millions d'Euro
Kaka_67 -
Kaka_67 -

2 réponses