Virus "Alureon-K"
Résolug3n-h@ckm@n -
Je me prends la tête depuis plusieurs jours avec une menace détectée par Avast : "Alureon-K" avec un entête qui ressemble à : MBR:\\.\PHYSICALDRIVE0\Partition3
Avast n'arrive pas à le supprimer, ni le mettre en quarantaine, ni le réparer.
Je sais pas si ça a un rapport (mais je suppose que si), ma connexion internet est assez fortement ralentie, et il arrive régulièrement que des liens sur lesquels je clique dans Google soient redirigés vers d'autres liens qui n'ont rien à voir.
Bref, ça sent le sapin :)
Après avoir consulté un peu des sujets ressemblant à mon cas, j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.
Que puis-je faire ? Merci d'avance !!!
170 réponses
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
Problème central : une menace Alureon-K détectée au niveau du MBR (PHYSICALDRIVE0\Partition3) entraîne une connexion Internet plus lente et des redirections fréquentes lors de clics sur des liens.
Plusieurs conseils préconisent de démarrer sur un live CD pour isoler l’infection et éviter que le rootkit ne tourne sous Windows, puis d’employer TDSSKiller, aswMBR ou PTEDIT32 selon les symptômes.
D'autres interventions évoquent des pré-scans et des outils comme Pre_Scan et Pre_Scan.pif, ainsi que des commandes telles que Part_look et PTEDIT32, tout en avertissant des risques sur les partitions ou les processus vitaux.
Note utile : la procédure recommande d’enregistrer et d’héberger les rapports sur une plateforme distante afin d’analyser les résultats sans compromettre le système.
-
salut
alors là trop fort !
je cite :
j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.
et l'autre il répond :
http://forum.malekal.com/tdsskiller-kaspersky-t28637.html
bonne chance ^^
mouhahahahahah!!!!
=================
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider-
Salut ! Merci de m'aider
J'ai téléchargé Pre_Scan (qui a été renommé winlogon.exe apparemment) et en le lançant j'obtiens les messages suivants :
- La corbeille sur C:\ est endommagée. Voulez vous vider la corbeille pour ce lecteur ?
OK,
- La corbeille sur D:\ est endommagée. Voulez vous vider la corbeille pour ce lecteur ?
OK,
- AutoIt Error
Line 12123 (File "C:\Users\White Wasteland\Desktop\winlogon.exe"):
Error : Variable must be of type "Object".
Ça te parle ? :)
-
-
faudrait voir en lancant un live cd je pense qu il se cache comme il le faut sous windows ....
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ -
super-super on l'a trouvé c'est la troisieme ligne qui commence par 17 sur ta deuxieme capture et par hid* sur le premiere ^^
mouahahhaha
redemarre sous windows
lance part look
clique sur delete puis ecris 2 et clique sur ok
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ -
tu risques juste de detruire le rootkit ^^
non part_look c'est le truc rond orange et vert que tu as utilisé ici :
https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#7
tes deux vrais partitions on ne les touche pas
tu doit avoir peur parce que j'ai dit deux au lieu de trois ^^
je t'explique :
Avast voit :
partition 1 => active ( Windows)
partition 2 => Données
parttion 3 => créée par le rootkit TDSS/Alureon
donc trois partitions
mais suivant les outils ton disque dur commence à la partition 0
d'ailleur ici on voit bien que ton windows est installé dans la partiton 0 :
https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#8
de plus c'est la partition active dite "de boot"
alors qu'ici on voit qu'il est installé dans la partition 1 donc suivant l'outil utilisé on supprimera la partition 2 ou 3...c'est bien pour ce la qu'il ne faut pas jouer avec les partitions et leurs tables ^^
regarde essaie un truc :
lance Part_look , puis clique sur delete et rentre le chiffre 3 comme te l'indique avast , ensuite , redemarre le pc sur le live , relance PTEDIT32 et tu verras qu'en troisieme ligne tu auras toujours ta partition avec le rootkit : 17 (partiton NTFS/Cachée) en premiere colonne
en plus il est nul :
4128 secteur ca doit faire à peu près 2Mo
t'as deja vu une partition de 2Mo ?? mdr ! cachée de surcrôit
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ok mets toi sur write puis fais entrée
(je suis en train de faire des tests en meme temps sur live cd , je vais peut etre pouvoir concocter quelque chose qui s'y intègre et qui soit fonctionnel.....commence à bien faire cet alureon là !!! il m'a cherché , il va me trouver ! -
-
Oui, comme je disais, marche pas le tdsskiller je pense qu'il est bloqué par l'infection :)
-
re
retenete en mode sans echec , j'ai rien de particulier à cette ligne c'est l'infection qui doit bloquer (prends la version .pif) -
Bon, j'ai tenté le winlogon.exe en mode sans échec et j'ai eu les mêmes messages d'erreur...
J'ai téléchargé la version .pif, qui me lance directement le menu sur fond rouge, je clique sur "Kill" et j'obtiens encore une fois les mêmes messages.
Le dernier varie un peu :
Line 12093 (File "C:\Users\White Wasteland\Desktop\Pre_Scan.pif"):
Error: Variable must be of type "Object".
:/ -
alors on va galerer....
on va le faire comme ca
liens de telechargement :
http://forums-fec.be/gen-hackman/Part_Look.exe
lance-le , clique sur listing , puis colle le contenu du rapport ici entre les balises code qui apparaitront quand tu auras cliqué sur le bouton a coté du "S" souligné juste dans l'entête de ta reponse
code>ICI</code -
Il n'y avait pas de "Listing", j'ai cliqué sur Look, j'imagine que c'est ce que tu voulais dire !
Voilà ce que ça donne :
¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ Disk: 0 Size=477G Pos MBRndx Type/Name Size Active Hide Start Sector Sectors --- ------ ---------- ---- ------ ---- ------------ ------------ 0 0 07-NTFS 67G Yes No 2,048 137,912,320 1 1 07-NTFS 410G No No 137,914,368 838,854,656
-
bizarre t'as que deux partitions....
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
-
Ben, Pre_Scan me redonne les mêmes messages d'erreur mais on n'a rien changé non ?
Qu'est ce qui te semble bizarre dans le fait que j'ai 2 partitions ? -
j'y ai fait une modif entre temps c'est pour ca :)
ben en fait tu dis :
\\.\PHYSICALDRIVE0\Partition3
edit::
Ah ouais mais j'ai pas touché cette partie en plus...
le code du programme :
12122 $OSHELL = ObjCreate("shell.application") 12123 If $OSHELL.IsServiceRunning("MpsSvc") Then 12124 FileWriteLine($TXT, "Pare-feu windows : Actif") 12125 Else 12126 FileWriteLine($TXT, "Pare-feu windows : Inactif") 12127 EndIf
pas besoin d'etre programmeur pour comprendre que c'est la surveillance pour savoir si le parefeu windows est actif ou pas....
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ -
Il était question de la ligne 12093 aussi...
Qu'est ce que je peux essayer du coup ?
Je vais refaire un scan d'Avast pour vérifier que je me suis pas trompé entre Partition3 et Partition2 (qui serait plus logique, je suis d'accord) mais il me semble que c'était bien 3... -
▶ Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
-
Voilà le scan Gmer :
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-07-12 18:46:29
Windows 6.0.6002 Service Pack 2
Running: hb3yoetf.exe
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@MSIgnoreLSPDefault
Reg HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015832b78f6
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}
Reg HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@MSIgnoreLSPDefault
Reg HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@WSIgnoreLSPDefault nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg HKLM\SYSTEM\ControlSet011\Services\BTHPORT\Parameters\Keys\0015832b78f6 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters@DefaultFilterSettings 1
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid 0x37 0xA2 0x36 0x72 ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x54 0x22 0x1F ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEA 0x62 0xDB 0x7B ...
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC9 0x6D 0x47 0xBB ...
---- EOF - GMER 1.0.15 ----
Par contre, aucune ligne n'est apparu en rouge... Je comprends plus rien moi ^^ -
ok fais en sorte que toutes les cases de droite soient cochées et clique sur scan à droite (si tu dois le relancer , attends la fin du scan primaire)
ensuite heberge le rapport car il sera vraiment plus long -
Les 8 premières cases sont grisées, on ne peut pas cliquer dessus (System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries).
Le seul truc que je puisse faire en plus, c'est cocher D:\ en plus de C:\ dans les "Files". Mais Windows et tous les fichiers système sont sur C. La partition D:\ ne me sert que pour du data.
Ca t'intéresse quand même ? -
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9