Aluréon-K Résolu/Fermé

Question

Bonjour, 
Mon anti-virus AVAST me signale un rootkit MBR: Aluréon-K infectant le fichier MBR:\.\PHYSICALDRIVEO\Partition 2 et n'arrive pas à le supprimer ou le mettre en quarantaine.
Le PC est devenu très lent
Mes connaissances en informatique étant limitées, y a-t-il une bonne âme pour m'aider à éliminer ce truc tout en utilisant un vocabulaire pour non initié.
Je vous remercie de vos réponses
Pascal



Configuration: Windows XP / Internet Explorer 8.0

g3n-h@ckm@n · Accepted Answer

salut  

Alureon avec CCleaner ? on me l'avait jamais faite celle-là mdr !!! 

============ 

Attention : cet outil peut etre détecté à tort comme virus  

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.  

Désactive toutes tes protections si possible , antivirus , sandbox , etc....  

telecharge et enregistre Pre_Scan sur ton bureau :  

http://forums-fec.be/gen-hackman/Pre_Scan.exe  
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan  

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.  

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.  

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"  

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :  

http://forums-fec.be/gen-hackman/Pre_Scan.pif  

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"  

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler  

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan  


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)  

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider  

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan  


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

-----geo----- · Answer

supprime le toi meme, sinn essai de faire un nettoyage avec Ccleaner et dis moi si le pb persiste

pascal · Answer

Merci pour les réponses et particulièrement à g3n-h@ckm@n.
J'ai fait le scan via les 3 liens et ceux- ci ont bloqué arrivés au contrôle du MBR.
Pascal

g3n-h@ckm@n · Answer

ok c'est normal :)

heberge le rapport qui est dans C:\ comme indiqué

pascal · Answer

le lien pour le rapport
http://pjjoint.malekal.com/files.php?id=20120625_15c14h8q7i11

g3n-h@ckm@n · Answer

heu je peux savoir ou tu as eu cette version pas à jour ?

pascal · Answer

??? version? pas à jour?
PC récupéré gracieusement après déliquescence de mon précédent agé de 10 ans

g3n-h@ckm@n · Answer

je parle de Pre_Scan

pascal · Answer

Désolé, j'ai dû me mélanger les fichiers.
Le lien pour le nouveau scan:
http://pjjoint.malekal.com/files.php?id=20120626_z9x11y10s14w15

g3n-h@ckm@n · Answer

Google Chrome pas à jour à mettre à jour

============

je ne vois qu'une partition sur ton disque.....

pascal · Answer

J'ai téléchargé une nouvelle version de Google Chrome, 
avec difficulté car j'ai l'impression que ça rame de plus en plus, 
ce rootkit en est-il la cause?
Je pense en effet que le disque n'a pas été partitionné.

g3n-h@ckm@n · Answer

relance pre_scan , clique sur tools , puis tdsskiller

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

pascal · Answer

Salut g3n-h@ckm@n

Voici ce que tdsskiller affiche:

Rootkit.Boot.SST.b
Physical drive: \Device\Harddisk0\DR0
Malware object, higt risk

puis me propose: Cure

Destrio5 · Answer

Accepte.

pascal · Answer

Après fermeture de tdssKiller, je te transmet le lien pour le rapport:

http://pjjoint.malekal.com/files.php?id=20120626_q15j8c13g14m6

g3n-h@ckm@n · Answer

bah tu vois c'etait partition 0 ^^ 

\Device\Harddisk0\DR0\Partition0 

=========================== 

relance pre_scan et poste le rapport il y a encore beaucoup de choses à virer 

ce coup-ci , il finira son scan , Rootkit.Boot.SST.b a été viré 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pascal · Answer

Je n'ai pas tout compris
Je n'avais pas encore accepté "cure" lorsque j'ai envoyé le rapport de tdsskiller.
j'ai relancé pre_scan comme demandé, il a rebloqué au niveau du contrôle MBR.
voici le lien du rapport:
http://pjjoint.malekal.com/files.php?id=20120626_7q8z10h9o15

g3n-h@ckm@n · Answer

Je n'avais pas encore accepté "cure" lorsque j'ai envoyé le rapport de tdsskiller. 

moi je lis :

11:47:32.0125 2768	\Device\Harddisk0\DR0 ( Rootkit.Boot.SST.b ) - User select action: Cure

pascal · Answer

Effectivement, j'ai dû sélectionner "cure" à 11H47 mais le rapport est issu, je pense, du scan tdsskiller effectué un peu avant 11H00.
Est ce que c'est toujours ce rootkit qui bloque pre_scan?

g3n-h@ckm@n · Answer

supprime le rapport de tdsskiller puis repasse-le voir ?

pascal · Answer

J'ai repassé tdsskiller et t'envoie le lien:
 http://pjjoint.malekal.com/files.php?id=20120626_i12t13o8f10f6
J'ai l'impression que ce malware s'amuse et se fout de nous.
Comme dit plus haut, le PC rame de plus en plus et j'ai eu du mal à aller sur le site d'hébergement.

g3n-h@ckm@n · Answer

ben il va pas jouer longtemps /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

pascal · Answer

voici le rapport de Combofix:


ComboFix 12-06-26.01 - Pascal 26/06/2012  17:35:13.2.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2048.1639 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pascal\Bureau\suppalureon.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-26 au 2012-06-26  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-26 09:47 . 2012-06-26 09:47	--------	d-----w-	C:\TDSSKiller_Quarantine
2012-06-25 22:44 . 2012-06-26 12:05	--------	d-----w-	C:\Pre_Scan
2012-06-25 20:48 . 2012-06-25 20:48	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Apple
2012-06-25 15:24 . 2012-06-25 15:24	--------	d--h--w-	c:\windows\PIF
2012-06-13 09:13 . 2012-05-11 14:40	521728	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
2012-06-10 16:05 . 2012-03-06 23:15	41184	----a-w-	c:\windows\avastSS.scr
2012-06-10 16:04 . 2012-06-26 14:57	--------	d-----w-	c:\program files\AVAST Software
2012-06-10 16:04 . 2012-06-26 14:57	--------	d-----w-	c:\documents and settings\All Users\Application Data\AVAST Software
2012-06-07 13:04 . 2012-06-07 13:04	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-07 13:04 . 2012-06-07 13:04	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 13:19 . 2009-08-06 17:24	16408	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2010-06-15 20:52	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2010-06-15 20:52	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2010-06-15 20:52	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2010-06-15 20:52	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2010-06-15 20:52	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 17:24	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-04-14 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 17:24	19480	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24	16408	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2010-06-15 20:52	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2010-06-15 20:52	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2009-08-06 17:23	25112	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:18 . 2010-10-08 09:42	214256	----a-w-	c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2010-10-08 09:42	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2010-10-08 09:42	18672	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 12:00	606208	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:06 . 2008-04-14 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:55 . 2008-04-14 12:00	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2008-04-14 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2008-04-14 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2008-04-14 12:00	385024	----a-w-	c:\windows\system32\html.iec
2012-05-05 03:15 . 2008-04-14 12:00	2194688	----a-w-	c:\windows\system32
toskrnl.exe
2012-05-05 03:15 . 2008-04-13 19:07	2071168	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-05-02 13:47 . 2010-06-15 20:49	139656	----a-w-	c:\windows\system32\driversdpwd.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-06-07 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-06-07 13902440]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-08-11 188416]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-06-26 212992]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-09-08 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Pascal\Menu Démarrer\Programmes\Démarrage\
Outil de notification de cadeaux MSN.lnk - c:\documents and settings\Pascal\Application Data\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe [2012-3-8 183096]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2003-7-7 233472]
WiFi Station pour Livebox.lnk - c:\program files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe [1980-1-8 806400]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0aswBoot.exe /M:43c4b1908
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Electronic Arts\EADM\Core.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
.
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [31/05/2011 17:23 1052480]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14/10/2009 07:24 10064]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [09/06/2012 23:55 116648]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [09/06/2012 23:55 116648]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-06-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-06-09 21:55]
.
2012-06-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-06-09 21:55]
.
2012-06-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-602162358-1801674531-1003Core.job
- c:\documents and settings\Pascal\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2012-06-26 21:55]
.
2012-06-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-602162358-1801674531-1003UA.job
- c:\documents and settings\Pascal\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2012-06-26 21:55]
.
2012-05-04 c:\windows\Tasks\HP DArC Task 2003-06-26 13:16ewlett-Packard2003-06-26 13:16p psc 1300 seriesA3652443A372B157BFD83129692C2C2475483DE7330863087.job
- c:\program files\HP\hpcoretech\comp\hpdarc.exe [2003-06-26 17:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-26 17:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1???????????????????????????????????????????????? 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1659004503-602162358-1801674531-1003\Software\Microsoft\Notification de cadeaux MSN]
@DACL=(02 0000)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(316)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2012-06-26  17:44:26
ComboFix-quarantined-files.txt  2012-06-26 15:44
ComboFix2.txt  2012-06-26 15:28
.
Avant-CF: 481 779 609 600 octets libres
Après-CF: 481 765 744 640 octets libres
.
- - End Of File - - 4642CE6A0569E7C891753301D78E8A04


Se cache t'il là dedans ce petit joueur?

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\dllcache\jsdbgui.dll 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

pascal · Answer

Je n'ai pas trouvé le fichier par le chemin habituel à la suite de "sélectionner" mais avec copier-coller.
L'analyse en copier-coller aussi n'ayant pas vu le lien.


SHA256:	426d434c643c47829218dd7e598f8b6b76164c884e8eb11a497dc14b462d3742
SHA1:	73298beefae69a55fac64995e51518ead9698ffd
MD5:	45f18e041a7a5ae349d26afeaa313101
La taille du fichier:	509,5 KB (521728 bytes)
Nom du fichier:	jsdbgui.dll
Type de fichier:	Win32 DLL
Rapport de détection:	0/42
Date de l'analyse:	 26/06/2012 16:32:06 UTC (0 minute) 
00
Plus de détails
Antivirus	Résulter	Mettre à jour
AhnLab-V3	-	20120626
AntiVir	-	20120626
Antiy-AVL	-	20120626
Avast	-	20120626
AVG	-	20120626
BitDefender	-	20120626
ByteHero	-	20120626
CAT-QuickHeal	-	20120626
ClamAV	-	20120626
Commtouch	-	20120626
Comodo	-	20120626
DrWeb	-	20120626
Emsisoft	-	20120626
eSafe	-	20120626
F-Prot	-	20120626
F-Secure	-	20120626
Fortinet	-	20120626
GData	-	20120626
Ikarus	-	20120626
Jiangmin	-	20120626
K7AntiVirus	-	20120626
Kaspersky	-	20120626
McAfee	-	20120626
McAfee-GW-Edition	-	20120626
Microsoft	-	20120626
NOD32	-	20120626
Normand	-	20120626
Nprotect	-	20120626
Panda	-	20120626
PCTools	-	20120626
Hausse	-	20120626
Sophos	-	20120626
SUPERAntiSpyware	-	20120626
Symantec	-	20120626
TheHacker	-	20120626
TotalDefense	-	20120626
TrendMicro	-	20120626
TrendMicro HouseCall-	-	20120626
VBA32	-	20120626
Vipre	-	20120626
ViRobot	-	20120626
VirusBuster	-	20120626
Commentaires
Votes
Informations complémentaires
Pas de commentaires

g3n-h@ckm@n · Answer

je peux avoir le lien de la page comme demandé ?

pascal · Answer

peux tu me dire oû trouver ce lien

pascal · Answer

est ce que c'est ce "lien" que tu me demandes?
https://www.virustotal.com/file/426d434c643c47829218dd7e598f8b6b76164c884e8eb11a497dc14b462d3742/analysis/1340753953/

g3n-h@ckm@n · Answer

oui car en fait les detections des antivirus je m'en fous un peu , ce qui m'interesse c'est surtout ce qu il y a dans l'onglet "additionnal informations" en bas de page :) ca déroule tout un tas d'infos interessantes sur les actions du fichier :) ========= bref __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: File:: c:\documents and settings\Pascal\Menu Démarrer\Programmes\Démarrage\Outil de notification de cadeaux MSN.lnk c:\documents and settings\Pascal\Application Data\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LVCOMSX"=- "HP Software Update"=- "HP Component Manager"=- "QuickTime Task"=- RegLock:: [HKEY_USERS\S-1-5-21-1659004503-602162358-1801674531-1003\Software\Microsoft\Notification de cadeaux MSN] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

pascal · Answer

Je te remercie beaucoup de ton aide.

voilà le lien pour le rapport de ComboFix:

http://pjjoint.malekal.com/files.php?id=20120627_j12p11w13g13s8

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.


========================


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

pascal · Answer

Je continuerai cette manip demain, je fatigue.
Et encore un grand MERCI

g3n-h@ckm@n · Answer

;)

pascal · Answer

Bonjour

Voici le lien du rapport de ADWCleaner:

http://pjjoint.malekal.com/files.php?id=20120627_g11j8g6f13x13

La suite va arriver un peu plus tard

g3n-h@ckm@n · Answer

pas de soucis :)

pascal · Answer

Le rapport log de Malwarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.27.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Pascal :: PASCAL-PC [administrateur]

27/06/2012 15:02:21
mbam-log-2012-06-27 (15-02-21).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 227465
Temps écoulé: 10 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Documents and Settings\Pascal\Bureau\Antivirus scan pour 45f18e041a7a5ae349d26afeaa313101 au 26 06 2012 22 42 49 UTC - VirusTotal.htm (Rogue.Link) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

ok quels soucis persistent ?

pascal · Answer

Le PC a retrouvé sa vigueur.

Merci beaucoup pour tes compétences et ta sollicitude.

J'ai réinstallé AVAST et effectué un scan minutieux, résultat: 
infection de C:	sk 001.dta  par  MBR:Aluréon-K lequel a pu être mis en quarantaine cette fois-ci.
Comment être certain d'avoir été débarrassé de ce truc?

Est ce que je dois relancer Defogger et cliquer sur "Re-enable"

J'aimerai aussi me débarrasser d'une fenêtre qui s'ouvre à chaque démarrage m'indiquant le passage à la nouvelle version 6.0.0.0 de Download Manager dont je ne connais pas l'utilité.

g3n-h@ckm@n · Answer

peut-tu desinstaller le programme ?

pascal · Answer

Lors de la procédure de désinstallation, une fenêtre m'avertit que cette désinstallation pourra nuire au fonctionnement de certains jeux ( ma fille joue à "Les SIMS") Si je persiste, pourra t'elle toujours y jouer?

Le MBR: Aluréon m'inquiète un peu plus, il est définitivement mort ou peut-il se balader et se cacher.

g3n-h@ckm@n · Answer

faudrait demarrer le prog alors , et selectionner une option dedans du style "ne pas demarrer avec windows" je pense....

s'il n'est plus signalé c'est qu il n'est plus là :)

pascal · Answer

Je l'ai supprimé et ça tourne toujours.

Et pour le rootkit, super et bon débarras.

Encore merci et bravo l'artiste.

Pascal

g3n-h@ckm@n · Answer

faut finir avec le menage final ^^

https://gen-hackman.kanak.fr/

pascal · Answer

Bonjour 

Ménage final? Qu'est ce?

pascal · Answer

Impossible "reenable" de Defogger tant que je suis, je pense, sous le site de nettoyage.

Je bloque au niveau de:
Télécharge ici : http://forums-fec.be/gen-hackman/Other/PureRa.exe

configure-le comme ceci :

http://forums-fec.be/gen-hackman/Pictures/Purera/Purera_config.PNG

clique sur clean puis transmets la derniere ligne qui ressemble à ca dans le rapport :

Total space cleaned : 6189143 Ko

Un mode d'emploi me serais utile

g3n-h@ckm@n · Answer

je ne comprends pas ce que tu ne comprends pas

pascal · Answer

J'ai bien téléchargé 
"http://forums-fec.be/gen-hackman/Other/PureRa.exe "

Comment configurer en 
"http://forums-fec.be/gen-hackman/Pictures/Purera/Purera_config.PNG

g3n-h@ckm@n · Answer

ben clique sur le lien !!!

Destrio5 · Answer

Une fois que tu as téléchargé PureRa, tu le lances.

pascal · Answer

Suite au nettoyage, voici le rapport de WIGIReport:
WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 28/06/2012 14:27:18 [Normal Mode]
Machine : PASCAL-PC (1 CPUs) [Pascal : ADMIN]
OS: Microsoft Windows XP Professionnel Service Pack 3 (x86)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows XP Professionnel] Current : Service Pack 3 -- Latest : Service Pack 3
UPTODATE [Internet Explorer] Current : 8.0.6001.18702 -- Latest : 8.0.6001.18702
UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257

Finished
<C:\Documents and Settings\Pascal\Bureau\WIGIReport[0].txt>
WIGIReport[0].txt

A la suite du lancement de PureRa, il était indiqué:
total space cleaned: 0 bytes

Le rapport de Delfix:
# DelFix v8.8 - Rapport créé le 28/06/2012 à 18:09:36
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Pascal - PASCAL-PC (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Pascal\Bureau\delfix.exe
# Option [Suppression]

~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Pascal\Bureau\suppalureon.exe <-- Combofix
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\Documents and Settings\Pascal\Bureau\avgremover.log
Supprimé : C:\Documents and Settings\Pascal\Bureau\avg_remover_stf_x86_2012_2125.exe
Supprimé : C:\Documents and Settings\Pascal\Bureau\Defogger.exe
Supprimé : C:\Documents and Settings\Pascal\Bureau\defogger_enable.log
Supprimé : C:\Documents and Settings\Pascal\Bureau\TDSSKiller.2.7.42.0_26.06.2012_14.04.56_log.txt
Supprimé : C:\Documents and Settings\Pascal\Bureau\Téléchargements - Outils de Xplode - AdwCleaner.htm
Supprimé : C:\Documents and Settings\Pascal\Bureau\WhyIGotInfected.exe
Supprimé : C:\Documents and Settings\Pascal\Mes documents\Downloads\adwcleaner.exe
Supprimé : C:\Documents and Settings\Pascal\Mes documents\Downloads\avgremover.log
Supprimé : C:\Documents and Settings\Pascal\Mes documents\Downloads\avg_remover_stf_x64_2012_2125.exe
Supprimé : C:\Documents and Settings\Pascal\Mes documents\Downloads\avg_remover_stf_x86_2012_2125.exe
Supprimé : C:\Documents and Settings\Pascal\Mes documents\Downloads\Defogger.exe
Supprimé : C:\Documents and Settings\Pascal\Mes documents\Downloads\defogger_disable.log
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2359 octets] - [28/06/2012 18:09:36]

########## EOF - C:\DelFix[S1].txt - [2483 octets] ##########

Je vais créer un point de restauration.
Quels sont les programmes à désinstaller?

g3n-h@ckm@n · Answer

t'as coché les cases dans purera ?

pascal · Answer

Je suis passé un peu trop rapidement sur celui-là
purera:  Total space cleaned: 61.88 MB

-=E.O.F=-

g3n-h@ckm@n · Answer

ok :)

Aluréon-K

53 réponses

Discussions similaires