Aluréon-K

Résolu
pascal -  
 g3n-h@ckm@n -
Bonjour,
Mon anti-virus AVAST me signale un rootkit MBR: Aluréon-K infectant le fichier MBR:\\.\PHYSICALDRIVEO\Partition 2 et n'arrive pas à le supprimer ou le mettre en quarantaine.
Le PC est devenu très lent
Mes connaissances en informatique étant limitées, y a-t-il une bonne âme pour m'aider à éliminer ce truc tout en utilisant un vocabulaire pour non initié.
Je vous remercie de vos réponses
Pascal

53 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un signalement d'AVAST signe un rootkit MBR nommé Aluréon-K qui infecte le fichier MBR sur une configuration Windows XP / Internet Explorer 8, ralentissant nettement le système.
Plusieurs réponses évoquent des outils de désinfection tels que Pre_Scan, Combofix, Defogger, PureRa et TDSSKiller, avec des consignes sur la désactivation temporaire des protections et l’envoi de rapports.
Des avertissements récurrents soulignent les risques liés à ces procédures, notamment la perte de données, le blocage temporaire de certains programmes et l’exigence d’un accompagnement qualifié pour éviter les dommages.
Pour finir, il est recommandé de vérifier les rapports générés, de démarrer en mode récupération si nécessaire et de préparer une sauvegarde avant toute manipulation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    Alureon avec CCleaner ? on me l'avait jamais faite celle-là mdr !!!

    ============

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    8
    1. -----geo----- Messages postés 364 Statut Membre 59
       
      je suis censé connaitre tous les nom de virus par coeur ? quel perte de temps
      0
    2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      "je suis censé connaitre tous les nom de virus par coeur ? quel perte de temps"

      --> Tu peux faire une recherche sur Google par exemple pour te renseigner.
      0
    3. g3n-h@ckm@n
       
      si c'est une perte de temps pour toi inutile de desinfecter c'est une perte de temps...^^
      0
  2. pascal
     
    Merci pour les réponses et particulièrement à g3n-h@ckm@n.
    J'ai fait le scan via les 3 liens et ceux- ci ont bloqué arrivés au contrôle du MBR.
    Pascal
    0
  3. g3n-h@ckm@n
     
    ok c'est normal :)

    heberge le rapport qui est dans C:\ comme indiqué
    0
  4. pascal
     
    le lien pour le rapport
    http://pjjoint.malekal.com/files.php?id=20120625_15c14h8q7i11
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    heu je peux savoir ou tu as eu cette version pas à jour ?
    0
  7. pascal
     
    ??? version? pas à jour?
    PC récupéré gracieusement après déliquescence de mon précédent agé de 10 ans
    0
  8. pascal
     
    Désolé, j'ai dû me mélanger les fichiers.
    Le lien pour le nouveau scan:
    http://pjjoint.malekal.com/files.php?id=20120626_z9x11y10s14w15
    0
  9. g3n-h@ckm@n
     
    Google Chrome pas à jour à mettre à jour

    ============

    je ne vois qu'une partition sur ton disque.....
    0
  10. pascal
     
    J'ai téléchargé une nouvelle version de Google Chrome,
    avec difficulté car j'ai l'impression que ça rame de plus en plus,
    ce rootkit en est-il la cause?
    Je pense en effet que le disque n'a pas été partitionné.
    0
  11. g3n-h@ckm@n
     
    relance pre_scan , clique sur tools , puis tdsskiller

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  12. pascal
     
    Salut g3n-h@ckm@n

    Voici ce que tdsskiller affiche:

    Rootkit.Boot.SST.b
    Physical drive: \Device\Harddisk0\DR0
    Malware object, higt risk

    puis me propose: Cure
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Accepte.
    0
    1. g3n-h@ckm@n
       
      oui comme c'est ecrit au dessus ^^
      0
  14. pascal
     
    Après fermeture de tdssKiller, je te transmet le lien pour le rapport:

    http://pjjoint.malekal.com/files.php?id=20120626_q15j8c13g14m6
    0
  15. g3n-h@ckm@n
     
    bah tu vois c'etait partition 0 ^^

    \Device\Harddisk0\DR0\Partition0

    ===========================

    relance pre_scan et poste le rapport il y a encore beaucoup de choses à virer

    ce coup-ci , il finira son scan , Rootkit.Boot.SST.b a été viré
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  16. pascal
     
    Je n'ai pas tout compris
    Je n'avais pas encore accepté "cure" lorsque j'ai envoyé le rapport de tdsskiller.
    j'ai relancé pre_scan comme demandé, il a rebloqué au niveau du contrôle MBR.
    voici le lien du rapport:
    http://pjjoint.malekal.com/files.php?id=20120626_7q8z10h9o15
    0
  17. g3n-h@ckm@n
     
    Je n'avais pas encore accepté "cure" lorsque j'ai envoyé le rapport de tdsskiller.

    moi je lis :

    11:47:32.0125 2768 \Device\Harddisk0\DR0 ( Rootkit.Boot.SST.b ) - User select action: Cure
    0
  18. pascal
     
    Effectivement, j'ai dû sélectionner "cure" à 11H47 mais le rapport est issu, je pense, du scan tdsskiller effectué un peu avant 11H00.
    Est ce que c'est toujours ce rootkit qui bloque pre_scan?
    0
  19. g3n-h@ckm@n
     
    supprime le rapport de tdsskiller puis repasse-le voir ?
    0
  20. pascal
     
    J'ai repassé tdsskiller et t'envoie le lien:
    http://pjjoint.malekal.com/files.php?id=20120626_i12t13o8f10f6
    J'ai l'impression que ce malware s'amuse et se fout de nous.
    Comme dit plus haut, le PC rame de plus en plus et j'ai eu du mal à aller sur le site d'hébergement.
    0
  • 1
  • 2
  • 3