Virus "Alureon-K"

Résolu
whitewasteland Messages postés 96 Statut Membre -  
 g3n-h@ckm@n -
Hello,

Je me prends la tête depuis plusieurs jours avec une menace détectée par Avast : "Alureon-K" avec un entête qui ressemble à : MBR:\\.\PHYSICALDRIVE0\Partition3

Avast n'arrive pas à le supprimer, ni le mettre en quarantaine, ni le réparer.

Je sais pas si ça a un rapport (mais je suppose que si), ma connexion internet est assez fortement ralentie, et il arrive régulièrement que des liens sur lesquels je clique dans Google soient redirigés vers d'autres liens qui n'ont rien à voir.

Bref, ça sent le sapin :)

Après avoir consulté un peu des sujets ressemblant à mon cas, j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.

Que puis-je faire ? Merci d'avance !!!

170 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
Résumé de la discussion

Problème central : une menace Alureon-K détectée au niveau du MBR (PHYSICALDRIVE0\Partition3) entraîne une connexion Internet plus lente et des redirections fréquentes lors de clics sur des liens.
Plusieurs conseils préconisent de démarrer sur un live CD pour isoler l’infection et éviter que le rootkit ne tourne sous Windows, puis d’employer TDSSKiller, aswMBR ou PTEDIT32 selon les symptômes.
D'autres interventions évoquent des pré-scans et des outils comme Pre_Scan et Pre_Scan.pif, ainsi que des commandes telles que Part_look et PTEDIT32, tout en avertissant des risques sur les partitions ou les processus vitaux.
Note utile : la procédure recommande d’enregistrer et d’héberger les rapports sur une plateforme distante afin d’analyser les résultats sans compromettre le système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    alors là trop fort !

    je cite :

    j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.

    et l'autre il répond :

    http://forum.malekal.com/tdsskiller-kaspersky-t28637.html

    bonne chance ^^

    mouhahahahahah!!!!

    =================

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    https://toolslib.net

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    1
    1. whitewasteland Messages postés 96 Statut Membre
       
      Salut ! Merci de m'aider

      J'ai téléchargé Pre_Scan (qui a été renommé winlogon.exe apparemment) et en le lançant j'obtiens les messages suivants :

      - La corbeille sur C:\ est endommagée. Voulez vous vider la corbeille pour ce lecteur ?
      OK,
      - La corbeille sur D:\ est endommagée. Voulez vous vider la corbeille pour ce lecteur ?
      OK,
      - AutoIt Error
      Line 12123 (File "C:\Users\White Wasteland\Desktop\winlogon.exe"):
      Error : Variable must be of type "Object".

      Ça te parle ? :)
      0
  2. g3n-h@ckm@n
     
    faudrait voir en lancant un live cd je pense qu il se cache comme il le faut sous windows ....
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  3. g3n-h@ckm@n
     
    super-super on l'a trouvé c'est la troisieme ligne qui commence par 17 sur ta deuxieme capture et par hid* sur le premiere ^^

    mouahahhaha

    redemarre sous windows

    lance part look

    clique sur delete puis ecris 2 et clique sur ok
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  4. g3n-h@ckm@n
     
    tu risques juste de detruire le rootkit ^^

    non part_look c'est le truc rond orange et vert que tu as utilisé ici :

    https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#7

    tes deux vrais partitions on ne les touche pas

    tu doit avoir peur parce que j'ai dit deux au lieu de trois ^^

    je t'explique :

    Avast voit :

    partition 1 => active ( Windows)
    partition 2 => Données
    parttion 3 => créée par le rootkit TDSS/Alureon

    donc trois partitions

    mais suivant les outils ton disque dur commence à la partition 0

    d'ailleur ici on voit bien que ton windows est installé dans la partiton 0 :

    https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#8

    de plus c'est la partition active dite "de boot"

    alors qu'ici on voit qu'il est installé dans la partition 1 donc suivant l'outil utilisé on supprimera la partition 2 ou 3...c'est bien pour ce la qu'il ne faut pas jouer avec les partitions et leurs tables ^^

    regarde essaie un truc :

    lance Part_look , puis clique sur delete et rentre le chiffre 3 comme te l'indique avast , ensuite , redemarre le pc sur le live , relance PTEDIT32 et tu verras qu'en troisieme ligne tu auras toujours ta partition avec le rootkit : 17 (partiton NTFS/Cachée) en premiere colonne

    en plus il est nul :

    4128 secteur ca doit faire à peu près 2Mo

    t'as deja vu une partition de 2Mo ?? mdr ! cachée de surcrôit

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ok mets toi sur write puis fais entrée

    (je suis en train de faire des tests en meme temps sur live cd , je vais peut etre pouvoir concocter quelque chose qui s'y intègre et qui soit fonctionnel.....commence à bien faire cet alureon là !!! il m'a cherché , il va me trouver !
    1
  7. whitewasteland Messages postés 96 Statut Membre
     
    Oui, comme je disais, marche pas le tdsskiller je pense qu'il est bloqué par l'infection :)
    0
  8. g3n-h@ckm@n
     
    re

    retenete en mode sans echec , j'ai rien de particulier à cette ligne c'est l'infection qui doit bloquer (prends la version .pif)
    0
  9. whitewasteland Messages postés 96 Statut Membre
     
    Bon, j'ai tenté le winlogon.exe en mode sans échec et j'ai eu les mêmes messages d'erreur...
    J'ai téléchargé la version .pif, qui me lance directement le menu sur fond rouge, je clique sur "Kill" et j'obtiens encore une fois les mêmes messages.
    Le dernier varie un peu :
    Line 12093 (File "C:\Users\White Wasteland\Desktop\Pre_Scan.pif"):
    Error: Variable must be of type "Object".

    :/
    0
  10. g3n-h@ckm@n
     
    alors on va galerer....

    on va le faire comme ca

    liens de telechargement :

    http://forums-fec.be/gen-hackman/Part_Look.exe

    lance-le , clique sur listing , puis colle le contenu du rapport ici entre les balises code qui apparaitront quand tu auras cliqué sur le bouton a coté du "S" souligné juste dans l'entête de ta reponse

    code>ICI</code
    0
  11. whitewasteland Messages postés 96 Statut Membre
     
    Il n'y avait pas de "Listing", j'ai cliqué sur Look, j'imagine que c'est ce que tu voulais dire !
    Voilà ce que ça donne :

    ¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤
    
     Disk: 0   Size=477G
     Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
     --- ------ ---------- ---- ------ ---- ------------ ------------
      0    0    07-NTFS     67G   Yes   No         2,048  137,912,320
      1    1    07-NTFS    410G   No    No   137,914,368  838,854,656
    0
  12. g3n-h@ckm@n
     
    bizarre t'as que deux partitions....

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    https://toolslib.net

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  13. whitewasteland Messages postés 96 Statut Membre
     
    Ben, Pre_Scan me redonne les mêmes messages d'erreur mais on n'a rien changé non ?

    Qu'est ce qui te semble bizarre dans le fait que j'ai 2 partitions ?
    0
  14. g3n-h@ckm@n
     
    j'y ai fait une modif entre temps c'est pour ca :)

    ben en fait tu dis :

    \\.\PHYSICALDRIVE0\Partition3

    edit::

    Ah ouais mais j'ai pas touché cette partie en plus...

    le code du programme :

    12122  $OSHELL = ObjCreate("shell.application")
    12123 If $OSHELL.IsServiceRunning("MpsSvc") Then
    12124 	FileWriteLine($TXT, "Pare-feu windows : Actif")
    12125 Else
    12126 	FileWriteLine($TXT, "Pare-feu windows : Inactif")
    12127 EndIf
    


    pas besoin d'etre programmeur pour comprendre que c'est la surveillance pour savoir si le parefeu windows est actif ou pas....
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  15. whitewasteland Messages postés 96 Statut Membre
     
    Il était question de la ligne 12093 aussi...
    Qu'est ce que je peux essayer du coup ?

    Je vais refaire un scan d'Avast pour vérifier que je me suis pas trompé entre Partition3 et Partition2 (qui serait plus logique, je suis d'accord) mais il me semble que c'était bien 3...
    0
    1. whitewasteland Messages postés 96 Statut Membre
       
      Je viens de vérifier, c'est bien Partition3. Avast le trouve quasi immédiatement quand je lance un scan complet.
      0
  16. g3n-h@ckm@n
     
    ▶ Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

    Desactive toutes tes protections le temps du scan de gMer

    Pour XP => double clique sur gmer.exe
    Pour Vista et 7 => clique droit "executer en tant que...."

    ▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
    0
  17. whitewasteland Messages postés 96 Statut Membre
     
    Voilà le scan Gmer :

    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2012-07-12 18:46:29
    Windows 6.0.6002 Service Pack 2
    Running: hb3yoetf.exe

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@MSIgnoreLSPDefault
    Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
    Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015832b78f6
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
    Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
    Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@MSIgnoreLSPDefault
    Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
    Reg HKLM\SYSTEM\ControlSet011\Services\BTHPORT\Parameters\Keys\0015832b78f6 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...

    ---- EOF - GMER 1.0.15 ----

    Par contre, aucune ligne n'est apparu en rouge... Je comprends plus rien moi ^^
    0
  18. g3n-h@ckm@n
     
    ok fais en sorte que toutes les cases de droite soient cochées et clique sur scan à droite (si tu dois le relancer , attends la fin du scan primaire)

    ensuite heberge le rapport car il sera vraiment plus long
    0
  19. whitewasteland Messages postés 96 Statut Membre
     
    Les 8 premières cases sont grisées, on ne peut pas cliquer dessus (System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries).

    Le seul truc que je puisse faire en plus, c'est cocher D:\ en plus de C:\ dans les "Files". Mais Windows et tous les fichiers système sont sur C. La partition D:\ ne me sert que pour du data.

    Ca t'intéresse quand même ?
    0
  20. g3n-h@ckm@n
     
    si tu le lances avec le clic droit executer en tant qu'administrateur ca fait pareil ?
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9