Virus "Alureon-K" Résolu

Question

Hello,

Je me prends la tête depuis plusieurs jours avec une menace détectée par Avast : "Alureon-K" avec un entête qui ressemble à : MBR:\.\PHYSICALDRIVE0\Partition3

Avast n'arrive pas à le supprimer, ni le mettre en quarantaine, ni le réparer.

Je sais pas si ça a un rapport (mais je suppose que si), ma connexion internet est assez fortement ralentie, et il arrive régulièrement que des liens sur lesquels je clique dans Google soient redirigés vers d'autres liens qui n'ont rien à voir.

Bref, ça sent le sapin :)

Après avoir consulté un peu des sujets ressemblant à mon cas, j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien.

Que puis-je faire ? Merci d'avance !!!

Configuration: Windows Vista / Firefox 13.0.1

Xsheyttan · Answer

https://forum.malekal.com/viewtopic.php?t=28637&start=

bonne chance ^^

g3n-h@ckm@n · Answer

salut

alors là trop fort !

je cite :

j'ai téléchargé TDSSKiller et aswMBR, mais aucun des deux ne veulent se lancer. Je clique et j'attends, rien. 

et l'autre il répond :

http://forum.malekal.com/tdsskiller-kaspersky-t28637.html

bonne chance ^^

mouhahahahahah!!!!

=================

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

whitewasteland · Answer

Oui, comme je disais, marche pas le tdsskiller je pense qu'il est bloqué par l'infection :)

g3n-h@ckm@n · Answer

re

retenete en mode sans echec , j'ai rien de particulier à cette ligne c'est l'infection qui doit bloquer (prends la version .pif)

whitewasteland · Answer

Bon, j'ai tenté le winlogon.exe en mode sans échec et j'ai eu les mêmes messages d'erreur...
J'ai téléchargé la version .pif, qui me lance directement le menu sur fond rouge, je clique sur "Kill" et j'obtiens encore une fois les mêmes messages.
Le dernier varie un peu :
Line 12093 (File "C:\Users\White Wasteland\Desktop\Pre_Scan.pif"):
Error: Variable must be of type "Object".

:/

g3n-h@ckm@n · Answer

alors on va galerer.... on va le faire comme ca liens de telechargement : http://forums-fec.be/gen-hackman/Part_Look.exe lance-le , clique sur listing , puis colle le contenu du rapport ici entre les balises code qui apparaitront quand tu auras cliqué sur le bouton a coté du "S" souligné juste dans l'entête de ta reponse code>ICI

whitewasteland · Answer

Il n'y avait pas de "Listing", j'ai cliqué sur Look, j'imagine que c'est ce que tu voulais dire !
Voilà ce que ça donne :

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

 Disk: 0   Size=477G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS     67G   Yes   No         2,048  137,912,320
  1    1    07-NTFS    410G   No    No   137,914,368  838,854,656

g3n-h@ckm@n · Answer

bizarre t'as que deux partitions....

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

whitewasteland · Answer

Ben, Pre_Scan me redonne les mêmes messages d'erreur mais on n'a rien changé non ?

Qu'est ce qui te semble bizarre dans le fait que j'ai 2 partitions ?

g3n-h@ckm@n · Answer

j'y ai fait une modif entre temps c'est pour ca :) 

ben en fait tu dis : 

\.\PHYSICALDRIVE0\Partition3  

edit::

Ah ouais mais j'ai pas touché cette partie en plus...

le code du programme :


12122  $OSHELL = ObjCreate("shell.application")
12123 If $OSHELL.IsServiceRunning("MpsSvc") Then
12124 	FileWriteLine($TXT, "Pare-feu windows : Actif")
12125 Else
12126 	FileWriteLine($TXT, "Pare-feu windows : Inactif")
12127 EndIf


pas besoin d'etre programmeur pour comprendre que c'est la surveillance pour savoir si le parefeu windows est actif ou pas....
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Il était question de la ligne 12093 aussi...
Qu'est ce que je peux essayer du coup ?

Je vais refaire un scan d'Avast pour vérifier que je me suis pas trompé entre Partition3 et Partition2 (qui serait plus logique, je suis d'accord) mais il me semble que c'était bien 3...

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

whitewasteland · Answer

Voilà le scan Gmer :

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-07-12 18:46:29
Windows 6.0.6002 Service Pack 2 
Running: hb3yoetf.exe


---- Registry - GMER 1.0.15 ----

Reg  HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@MSIgnoreLSPDefault                                                                                                    
Reg  HKLM\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters@WSIgnoreLSPDefault                                                                                                    nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg  HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0015832b78f6                                                                                                    
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters@DefaultFilterSettings                                                                                            1
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters                                                                                                         
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}                                                                  
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA                                                           
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters                                                                                                     
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}                                                              
Reg  HKLM\SYSTEM\CurrentControlSet\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid                                                0x37 0xA2 0x36 0x72 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                                                             771343423
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                                                             285507792
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                                                             1
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                                               
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                            C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                            0
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                         0x61 0x54 0x22 0x1F ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                                                      
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                                   0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                                0xEA 0x62 0xDB 0x7B ...
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                                                
Reg  HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                          0xC9 0x6D 0x47 0xBB ...
Reg  HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@MSIgnoreLSPDefault                                                                                                        
Reg  HKLM\SYSTEM\ControlSet011\Services\aswRdr\Parameters@WSIgnoreLSPDefault                                                                                                        nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
Reg  HKLM\SYSTEM\ControlSet011\Services\BTHPORT\Parameters\Keys\0015832b78f6 (not active ControlSet)                                                                                
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters@DefaultFilterSettings                                                                                                1
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters (not active ControlSet)                                                                                     
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)                                              
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\ExtSTA (not active ControlSet)                                       
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\Adapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}\{E475CF9A-60CD-4439-A75F-0079CE0E18A1}-0000 (not active ControlSet)  
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters (not active ControlSet)                                                                                 
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A} (not active ControlSet)                                          
Reg  HKLM\SYSTEM\ControlSet011\Services\NativeWifiP\Parameters\NdisAdapters\{7E3AB5D5-46FE-43C8-A04E-9EA392E6479A}@InterfaceGuid                                                    0x37 0xA2 0x36 0x72 ...
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                                                           
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                                C:\Program Files (x86)\DAEMON Tools Lite\
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                                0
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                             0x61 0x54 0x22 0x1F ...
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                                                                  
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                                       0x20 0x01 0x00 0x00 ...
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                                    0xEA 0x62 0xDB 0x7B ...
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                                                            
Reg  HKLM\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                              0xC9 0x6D 0x47 0xBB ...

---- EOF - GMER 1.0.15 ----

Par contre, aucune ligne n'est apparu en rouge... Je comprends plus rien moi ^^

g3n-h@ckm@n · Answer

ok fais en sorte que toutes les cases de droite soient cochées et clique sur scan à droite (si tu dois le relancer , attends la fin du scan primaire)

ensuite heberge le rapport car il sera vraiment plus long

whitewasteland · Answer

Les 8 premières cases sont grisées, on ne peut pas cliquer dessus (System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries).

Le seul truc que je puisse faire en plus, c'est cocher D:\ en plus de C:\ dans les "Files". Mais Windows et tous les fichiers système sont sur C. La partition D:\ ne me sert que pour du data.

Ca t'intéresse quand même ?

g3n-h@ckm@n · Answer

si tu le lances avec le clic droit executer en tant qu'administrateur ca fait pareil ?

whitewasteland · Answer

Oui oui, c'est ce que j'avais fait !

g3n-h@ckm@n · Answer

ok oui coche toutes les partitions...;

whitewasteland · Answer

Voilà le deuxième scan avec C: et D: !

https://pjjoint.malekal.com/files.php?id=20120712_e13j6m13h11e15

g3n-h@ckm@n · Answer

rien de nouveau ...bref ...fais une cpature d'ecran du message d'avast ?

whitewasteland · Answer

Voilà la capture d'écran après un nouveau scan complet sur Avast :
http://img841.imageshack.us/img841/3361/scanavast.jpg

g3n-h@ckm@n · Answer

reessaie aswmbr ren mode sans echec

la sandbox d'avast est bien desactivée hein ?

whitewasteland · Answer

Bon, j'avais pas désactivé l'autosandbox d'Avast. Je croyais que ça faisait partie des "Agents Avast" à désactiver... Désolé !!

Du coup je l'ai désactivé, mais malheureusement ça ne change rien.

J'ai retenté aswmbr en mode normal, puis en mode sans échec, il ne démarre toujours pas.

Et j'ai retéléchargé pre_scan.pif au cas où, mais j'ai toujours les mêmes messages...

g3n-h@ckm@n · Answer

toujours à la 12 123 ?

whitewasteland · Answer

Non, à la 12095 !

Par contre avant le message, je le vois scanner plein de trucs, chose que je ne voyais pas avant.

Il me donne ce message au moment de "création d'un point de restauration - Enregistrement système"

g3n-h@ckm@n · Answer

et ouais mais je peux pas t'envoyer une version sans restauration systeme...enfin je pourrais , j'ai qu'un caractere à mettre dans le code mais c est trop risqué....

on est un peu coincés là....

whitewasteland · Answer

Ok ok : [

Bon bah écoute, d'ici la fin de l'été je comptais réinstaller complètement mon pc...

A ton avis, c'est bien ce rootkit qui me ralentit ma connexion internet et qui me crée des redirections sur des liens Google ? Sachant qu'Avast et Malwarbyte Antimalware ne me détectent que ça.

Merci beaucoup en tous cas pour ton aide !

whitewasteland · Answer

Je viens de faire un test en bootant sur un cd live Ubuntu.
Connexion internet super rapide, et affiche de Facebook en 2sec chrono (alors que sous Windows je n'arrive même plus à aller sur Facebook, que ce soit avec Firefox, Chrome ou IE)...

anthony5151 · Answer

Salut à vous deux.

Je suivais cette discussion depuis le début, je me permets de faire une suggestion puis je vous laisse continuer ;)

Essaye au scan au démarrage avec Avast, il pourra peut-être supprimer l'infection dans ce cas là, ce qu'il ne peut pas forcément faire quand le système est actif.
Pour lancer ce scan, ouvre Avast --> clique sur Lancer un scan --> Scan au démarrage --> Planifier maintenant --> Fais redémarrer l'ordinateur (voici une capture d'écran pour être plus précis).

Bon courage ;)

g3n-h@ckm@n · Answer

merci anthony je ne connais pas du tout avast avec son scan au redemarrage...

A ton avis, c'est bien ce rootkit qui me ralentit ma connexion internet et qui me crée des redirections sur des liens Google ?

oui mais l'ennuyeux c est qu'on ne trouve pas la partition...

j'ai une idée

telecharge testdisk ici :

https://www.cgsecurity.org/wiki/TestDisk_Download

whitewasteland · Answer

Merci Anthony pour ta réponse !
J'ai tenté le scan d'Avast au démarre, j'avais bon espoir vu qu'il avait trouvé le rootkit et qu'il était sensé l'avoir mis en quarantaine. Mais au démarrage de Windows, j'ai refait un scan minutieux d'Avast pour vérifier s'il apparaissait encore, et il n'avait pas bougé d'un poil...

Dégouté, j'avais envie d'y croire !

J'ai téléchargé TestDisk.

g3n-h@ckm@n · Answer

ok 

dezippe-le dans un dossier dédié 

lance-le (testdisk_win.exe)

laisse sur create puis fais entrée 

fais une capture de l'ecran qui suit 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Voilà !

http://img259.imageshack.us/img259/1711/scantestdisk1.jpg

g3n-h@ckm@n · Answer

proceed => entrée => Intel/PC => entrée => analyze => entrée puis refais une capture

whitewasteland · Answer

http://img195.imageshack.us/img195/2828/scantestdisk2.jpg

g3n-h@ckm@n · Answer

à mon avis il a un probleme AVAST........

whitewasteland · Answer

Ben j'avoue que je comprends vraiment pas pourquoi il me parle d'une partition3 alors que j'en ai bel et bien que deux...

Il n'empêche qu'il y a bien un truc qui merde quelque part... : /

g3n-h@ckm@n · Answer

telecharge ca , lance-le et fais une capture :

http://www.archive-host.com

ne touche à rien dans les cases tu flinguerais tes partitions

whitewasteland · Answer

Voilà le screen !

http://img713.imageshack.us/img713/8671/paritiontableeditor.jpg

g3n-h@ckm@n · Answer

faudrait voir en lancant un live cd je pense qu il se cache comme il le faut sous windows .... 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Yep, bah comme je t'avais dit ce matin, j'avais booté sur un live CD d'Ubuntu, et au niveau navigation internet la différence était super flagrante...

Les pages s'affichaient 10 fois plus vite, et je pouvais me connecter à Facebook normalement alors que là sous Windows la page d'accueil de FB s'affiche quasi jamais.

Y a des manips spécifiques que je pourrais faire avec ce live cd ?

(encore une fois mille merci !!)

g3n-h@ckm@n · Answer

celui de ubuntu non , je ne sais pas mais celui-ci je le connais donc on peut tenter un testdisk du cd pour gruger mR Alureon 

lance ce fichier , un logiciel de gravure va s ouvrir moins d'une minute après , l'iso est deja selectionné , y a plus qu a cliquer sur burn 

http://www.forums-fec.be/gen-hackman/7pe_x86_E.exe 

demarre le pc dessus
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Ok !
Je suis en train de graver l'ISO, et je me suis connecté depuis mon pc portable pour pouvoir suivre en même temps tes instructions :)

g3n-h@ckm@n · Answer

tu referas la deuxieme capture avec testdisk (il sera sur le bureau et tu transfèreras PTEDIT32 sur clé usb et tu en feras la capture aussi 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Ok alors voilà les scans : 
http://img859.imageshack.us/img859/2003/testdisk3.jpg
http://img69.imageshack.us/img69/250/partitiontableditor2.jpg
http://img689.imageshack.us/img689/9905/explorateur.jpg

Je t'ai mis un screen du poste de travail également au cas où ça puisse aider.
Sur testdisk et partition editor on voit bien une 3ème partition, mais vu que le live CD a créé une partition "Boot" c'est peut-être juste ça... Enfin je te laisse juger !

g3n-h@ckm@n · Answer

super-super on l'a trouvé c'est la troisieme ligne qui commence par 17 sur ta deuxieme capture et par hid* sur le premiere ^^ 

mouahahhaha 

redemarre sous windows  

lance part look 

clique sur delete puis ecris 2 et clique sur ok
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Houla alors attends je voudrais juste être sur avant de faire ça :D
Je risque quoi au juste ? Quel est le risque pour mes 2 vraies partitions ?

Part look c'est PTEDIT32 ?

Merci et à demain !

g3n-h@ckm@n · Answer

tu risques juste de detruire le rootkit ^^   

non part_look c'est le truc rond orange et vert que tu as utilisé ici :   

https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#7   

tes deux vrais partitions on ne les touche pas    

tu doit avoir peur parce que j'ai dit deux au lieu de trois ^^   

je t'explique :   

 Avast voit :   

partition 1 => active ( Windows)   
partition 2 => Données   
parttion 3 => créée par le rootkit TDSS/Alureon   

donc trois partitions   

mais suivant les outils ton disque dur commence à la partition 0   

d'ailleur ici on voit bien que ton windows est installé dans la partiton 0 :   

https://forums.commentcamarche.net/forum/affich-25579108-virus-alureon-k?full#8   

de plus c'est la partition active dite "de boot"   

alors qu'ici on voit qu'il est installé dans la partition 1 donc suivant l'outil utilisé on supprimera la partition 2 ou 3...c'est bien pour ce la qu'il ne faut pas jouer avec les partitions et leurs tables ^^   

regarde essaie un truc :   

lance Part_look , puis clique sur delete et rentre le chiffre 3 comme te l'indique avast , ensuite , redemarre le pc sur le live , relance PTEDIT32 et tu verras qu'en troisieme ligne tu auras toujours ta partition avec le rootkit : 17 (partiton NTFS/Cachée) en premiere colonne  

en plus il est nul : 

4128 secteur ca doit faire à peu près 2Mo  

t'as deja vu une partition de 2Mo ?? mdr ! cachée de surcrôit

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Ok je comprends mieux merci :-)
Je suis pas chez moi aujourd'hui malheureusement mais je teste ça ce soir en rentrant !
On croise les doigts... :-)

g3n-h@ckm@n · Answer

ca devrait le faire....

whitewasteland · Answer

Et merde... Je viens de faire le test et j'ai une petite fenêtre dos qui me donne un message d'erreur :
Error 14 - Unable to save the MBR to selected disk
:/

whitewasteland · Answer

Peut-être qu'il faut faire la manip depuis le live CD ?

g3n-h@ckm@n · Answer

re

as-tu desactivé toutes tes protections , sandbox comprise si presente ??

whitewasteland · Answer

Re !
Oui j'ai vérifié tout est désactivé...
Les 8 agents Avast et l'Autosandbox

g3n-h@ckm@n · Answer

relcance part_look , fais unhide 2 , puis delete 2

whitewasteland · Answer

Error 21 - Invalid partition selected

g3n-h@ckm@n · Answer

oué lance part_look depuis le live et clique sur look puis poste le raport

whitewasteland · Answer

Ça me donne un rapport vide...
Partlook n'était pas sur le live CD apparemment, donc je l'ai retéléchargé. J'ai essayé également d'ouvrir celui qui était sur le bureau sur C:\ en passant par Users\Whitewasteland\Desktop... Mais dans les deux cas, rapport vide, même la petite fenêtre DOS qui s'ouvre n'affiche rien et se referme très vite.

g3n-h@ckm@n · Answer

re désolé week-end chargé ^^

=====

relance le live cd

relance testDisk

laisse sur create puis fais entrée

mets-toi sur la partition "  * hid" puis proceed puis entrée

mets-toi sur "Intel/PC" puis entrée

Delete puis entrée , reponds oui et oui "Y"

une fois terminé redemarre sous windows puis refais un scan voir s il est toujours detecté

whitewasteland · Answer

Re,
Pas de soucis on a tous le droit d'avoir une vie :)

Bon je préfère bien voir avec toi parce que je suis pas très rassuré à l'idée de toucher à des partitions.

Je lance Testdisk sous le live CD.
J'ai bien l'option "Create", je fais Entrée.
Là je ne vois pas la partition "hid" mais 3 choix :
Disk /dev/sda - 500GB / 465GiB - Samsung HD50LJ
Drive E: - 401 MB / 382 MiB - Plextor DVD-ROM PX-130A
Drive X: - 3162 KB / 3088 KiB - Microsoft Corporation RamDisk

La dernière fois, pour voir la partition "hid", j'avais du faire sélectionner le premier des 3, puis "Intel/PC Partition", puis "Analyse". Mais quand je fais ça je n'ai plus l'option de la supprimer.

Du coup je suis un peu perdu :)

g3n-h@ckm@n · Answer

Disk /dev/sda - 500GB / 465GiB - Samsung HD50LJ 

ensuite Intel/PC

puis analyse, puis fais capture

whitewasteland · Answer

http://img713.imageshack.us/img713/4744/testdisk4.jpg

g3n-h@ckm@n · Answer

fais entrée

whitewasteland · Answer

Voilà le scan :
http://img198.imageshack.us/img198/4383/testdisk5.jpg

g3n-h@ckm@n · Answer

descends sur la derniere et fais entrée

whitewasteland · Answer

Ok, ça propose "Deeper Search" ou "Write" !

g3n-h@ckm@n · Answer

fais une capture stp

whitewasteland · Answer

http://img217.imageshack.us/img217/9926/testdisk6.jpg

g3n-h@ckm@n · Answer

deepsearch + entrée

whitewasteland · Answer

Désolé du temps de réponse, le scan a été super long !!!

http://img855.imageshack.us/img855/9889/testdisk7.jpg

g3n-h@ckm@n · Answer

voila  

descends à la 4ème puis fais  ListFiles tu tapes "P" , je serais curieux de savoir ce que ca contient avant de la supprimer  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Hello !!

Désolé j'ai du partir tôt hier...

Voilà le screen que tu m'as demandé : 

http://img52.imageshack.us/img52/2761/testdisk8.jpg

J'espère que ça ne posera pas de souci pour la suite...

g3n-h@ckm@n · Answer

bon il arrive pas à l'ouvrir....on est dans le caca....

whitewasteland · Answer

Je craignais que tu me répondes ça : /

g3n-h@ckm@n · Answer

bon fais en sorte de retomber sur cette capture

http://img855.imageshack.us/img855/9889/testdisk7.jpg

whitewasteland · Answer

Oui j'y suis !

g3n-h@ckm@n · Answer

descends sur la derniere bien sur , puis fais juste entrée

whitewasteland · Answer

http://img406.imageshack.us/img406/959/testdisk9.jpg

g3n-h@ckm@n · Answer

t'as pas de curseur monter/descendre avec les flches là si je comprends bien

whitewasteland · Answer

Non effectivement :(

g3n-h@ckm@n · Answer

ok mets toi sur write puis fais entrée

(je suis en train de faire des tests en meme temps sur live cd , je vais peut etre pouvoir concocter quelque chose qui s'y intègre et qui soit fonctionnel.....commence à bien faire cet alureon là !!! il m'a cherché , il va me trouver !

whitewasteland · Answer

Ahah, je crois en toi !!! Effectivement, ça a été trop loin ! Jamais vu un truc aussi compliqué à supprimer : /

J'ai fait Entrée.

"Write partition table, confirm ? Y/N"

Je suppose que je fais Yes ^^

whitewasteland · Answer

Si on doit faire des manips dangereuses pour ma partition de Données tu me préviens ?
C'est mon pc pro, je bosse dans le son et j'ai des Go d'enregistrements audio qui sont là dessus...

whitewasteland · Answer

Désolé j'avais pas vu ta réponse !

Voilà le screen de Gestion de l'ordinateur : 

http://img267.imageshack.us/img267/4835/gestionpc.jpg

g3n-h@ckm@n · Answer

si tu cliques droit sur celle où y'a "2S" ca donne quoi ?

whitewasteland · Answer

2S ?

2mo, la première ? Tous les choix sont grisés, sauf "Supprimer le volume".

Je parle de celle qui apparait tout en haut, qui n'a pas de nom !

g3n-h@ckm@n · Answer

je parlais de cliquer droit ici :

https://www.cjoint.com/?BGrq3srQA9c

whitewasteland · Answer

Oui ok, ça renvoie à la même chose.
Le bout de cadre "2S" correspond à la première partition de la liste du haut.
Donc pareil, "Supprimer le volume", tout le reste est grisé !

g3n-h@ckm@n · Answer

fais sauter

whitewasteland · Answer

Ayé apu !!

whitewasteland · Answer

Donc là, s'il existe une justice en ce bas monde, Mr Alureon is gone ?

whitewasteland · Answer

Bon, je viens d'essayer de redémarrer sous Windows.
J'ai le message suivant :

"Disk error
Press any key to restart

Reboot and select proper boot device or insert boot media in selected boot device and press a key"

Je pense que du coup il ne sait plus sur quelle partition booter, non ?

g3n-h@ckm@n · Answer

ok 

démarre le pc malade sur le cd.

Laisse faire jusqu'à l'affichage complet du bureau

normalement FirefoxPortable te permet de venir lire la suite

Ouvre le menu démarrer, choisi "tous les programmes", puis "Pre_Scan"

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok

à la question Do you wish to load remote user profile(s) for scanning ? => oui

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK


Ensuite tu tapes XP ou V/7 selon ta version de windows et enfin tu cliques sur "Kill - Lancer le scan".

A la fin, Pre_Scan s'arrêtera, poste le rapport situé dans <le disque sélectionné>\Pre_Scan\Pre_Scan_Live\Pre_scan_Live_la_date_et_l'heure.txt via https://www.cjoint.com/ ou http://pjjoint.malekal.com

whitewasteland · Answer

Ok c'est en cours !

whitewasteland · Answer

Voilà le rapport Pre_Scan :

https://www.cjoint.com/?BGrr1yA3A0n

g3n-h@ckm@n · Answer

bon je sais pas ce qui s'est passé y'a pleins de fichiers qui auraient pas du degager

Supprimé :  C:\Windows\DIFxAPI.dll
Supprimé :  C:\Windows\Setup_ck.dll
Supprimé :  C:\Windows	wain.dll
Supprimé :  C:\Windows	wain_32.dll
Supprimé :  C:\Windows\Audio Converter Pro Uninstaller.exe
Supprimé :  C:\Windows\bfsvc.exe
Supprimé :  C:\Windows\Ckconfig.exe
Supprimé :  C:\Windows\Ckrfresh.exe
Supprimé :  C:\Windows\fveupdate.exe
Supprimé :  C:\Windows\HelpPane.exe
Supprimé :  C:\Windows\hh.exe
Supprimé :  C:\Windows\HideWin.exe
Supprimé :  C:\Windows\IsUn040c.exe
Supprimé :  C:\Windows\iun6002.exe
Supprimé :  C:\Windows
otepad.exe
Supprimé :  C:\Windows\Setup_ck.exe
Supprimé :  C:\Windows\splwow64.exe
Supprimé :  C:\Windows\ST5UNST.EXE
Supprimé :  C:\Windows	wunk_16.exe
Supprimé :  C:\Windows	wunk_32.exe
Supprimé :  C:\Windows\unins000.exe
Supprimé :  C:\Windows\winhlp32.exe

verifie quand meme qu'ils n'y soient reellement plus

whitewasteland · Answer

Effectivement je ne les vois pas...

g3n-h@ckm@n · Answer

ce que je comprends encore moins c'est que les fichiers seraient sencés aller dans la quarantaine et non supprimés...

ca a la rigueur j'en ai en double je peux te les passer 

laisse moi juste le temps de les reunir dans une archive et je t'envoie ca

heu.....sinon à tout hasard ils sont pas dans la quarantaine de pre_scan ?

whitewasteland · Answer

Le dossier Quarantine de Pre_Scan est vide :)

Je veux bien que tu m'envoies les fichiers ! Sinon j'ai mon ordinateur portable qui tourne sous Vista également, je peux peut-être les copier de là ?

Par contre, un point qui me semble important : mon pc tourne sous Vista 64 bits !

g3n-h@ckm@n · Answer

et non ....c'est pas les memes ;) 

sinon en attendant fais ceci  

ouvre l invité de commande et tape ca : 

bootrec.exe /fixboot c: 

tu dois avoir un message de reusssite

et vois si le redemarre 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Voilà ce que la bête me répond !

http://img201.imageshack.us/img201/6180/invitedecommandes.jpg

Peut-être un souci de syntaxe ? : /

g3n-h@ckm@n · Answer

ok refais sans le "c:"

whitewasteland · Answer

Element introuvable

g3n-h@ckm@n · Answer

essaie de voir si en mettant le disque dur en premier dans le bios ca demarrerait pas ??? y'avait pas de clé usb au moins des fois il essaie de booter dessus
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Alors il y avait bien une clé USB, mais j'ai retesté en la débranchant et ça change rien...

J'ai été voir les paramètres de boot dans le BIOS (si c'est bien comme ça que ça s'appelle) et il proposait 3 choix :

Sata:pm-samsung HD501LJ
CD/DVD blablabla Plextor DVD-rom
CD/DVD blabla DVD/RW

Donc j'ai sélectionné le premier (mon disque dur) et j'obtiens exactement le même message d'erreur : /

g3n-h@ckm@n · Answer

d'ac je suis en train d'installer un vista 32 home premium en VM pour te recuperer les fichiers manquants

question :

le message vient suite au premier ecran ou tu vois un bout de chargement de windows ? tu vois pas ca hein ?

whitewasteland · Answer

Ca marche merci pour le Vista :) Par contre n'oublie pas que le mien est en 64 bits ! Je sais pas si ça change quelque chose aux fichiers...

Pour répondre à ta question je ne vois aucun début de chargement de windows !

J'ai deux trois broutilles qui s'affichent sous DOS (comme d'hab), un écran qui me propose les options "avant démarrage" (genre F2 pour le Bios, F8 pour les options de boot, enfin je sais plus exactement mais en gros c'est ça).

Et juste après ça, le fameux message.

whitewasteland · Answer

Ok j'y suis ^^

g3n-h@ckm@n · Answer

ok rentre dans <ton disque systeme>\windows\winsxs

et en recherchant dans ce dossier tu dois normalement retrouver tous les fichiers cités plus haut et pouvoir les remettre dans le dossier windows

whitewasteland · Answer

Ok alors j'y suis mais j'ai des tonnes et des tonnes de sous-dossiers ! Mais aucun fichier à la racine.

g3n-h@ckm@n · Answer

lol tape la touche F3 tu pourras directement saisir le nom du fichier et il le cherchera pour toi :) ^^

==

sinon 

une petite capture sur l invité de commande et la commande :

bootrec.exe /scanOs 

voir ce qu il repond

whitewasteland · Answer

Alors voilà le scan déjà :

http://img225.imageshack.us/img225/3496/invitedecommandes2.jpg

J'essaye de récupérer les fichiers manquants ^^

g3n-h@ckm@n · Answer

AAAhhhh j'ai compris !! ^^ 

la partition est pas active elle peut pas booter 


Disk: 0   Size=477G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS     67G   No    No         2,048  137,912,320
  1    1    07-NTFS    410G   No    No   137,914,368  838,854,656

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Ah :D On va y arriver alors !!!

En tous cas pour la recherche des fichiers, j'ai pas l'impression que ça donne grand chose... Je tappe le nom d'un fichier à chercher, je fais entrée...

En fait c'est même pas qu'il trouve pas, je crois qu'il cherche même pas !

g3n-h@ckm@n · Answer

regarde dans le dossier windows\pre_scan tu confirmes qu il y a bien MBRFix64.exe ?

whitewasteland · Answer

Mhhh non je confirme pas :/

J'ai qu'un seul .exe et il s'appelle MBRWiz.exe

whitewasteland · Answer

Ok j'ai rien dit, il y est, je sais pas trop pourquoi je l'avais pas vu ^^

g3n-h@ckm@n · Answer

dans le dossier windows de ton systeme d origiine pas dans celui du live hein ?

whitewasteland · Answer

Ok j'ai compris d'où venait ma confusion, y a 2 dossiers Pre_Scan :

- Le premier dans C:\Windows\Pre_Scan où il n'y a que l'exe dont je t'ai parlé

- Le deuxième dans C:\Pre_Scan où il y a bien le MBRfix64.exe

whitewasteland · Answer

Oui oui, je suis dans C:, mon système d'origine

g3n-h@ckm@n · Answer

ok 

ouvre l invité de commande et balance ca dedans :

C:\Windows\Pre_Scan\MBRFix.exe /drive 0 listpartitions >> C:\windows\Pre_Scan\MBRFix.txt

colle le contenu de MBRFix.txt qui se mettra juste à coté de l executable

whitewasteland · Answer

# Boot Size (MB) Type
1         67340    7  NTFS or HPFS
2        409597    7  NTFS or HPFS
3             0    0  None
4             0    0  None

whitewasteland · Answer

J'ai trouvé un moyen de récupérer les fichiers manquants de tout à l'heure en passant par l'invite de commandes.

Sous C:\Windows\ je fais dir /s nomdufichier
Il me donne plusieurs exemples où je peux le trouver, j'ai plus qu'à aller le chercher dans l'Explorateur Windows.

Mais du coup c'est encore d'actualité ou pas ?

g3n-h@ckm@n · Answer

C:\Windows\Pre_Scan\MBRFix.exe /drive 0 /partition 1 setactivepartition

puis

del /f /q C:\windows\Pre_Scan\MBRFix.txt 

puis

C:\Windows\Pre_Scan\MBRFix.exe /drive 0 getactivepartition >> C:\windows\Pre_Scan\MBRFix.txt 

redonne le contenu du texte

whitewasteland · Answer

Je dois m'absenter quelques heures, jsuis désolé...
J'aimerais bien boucler ça mais j'ai vraiment pas le choix !!
Je m'occupe de tout ça dès que je rentre. Encore mille mercis pour ton boulot c'est vraiment cool !!

g3n-h@ckm@n · Answer

pas de soucis je serai peut etre encore là à ton retour suivant l heure ^^

whitewasteland · Answer

Re ! 
J'ai tappé les lignes que tu m'as données, ça m'a pas donné de texte en particulier :)
Voilà le screen : 

http://img857.imageshack.us/img857/2636/invitedecommandes3.jpg

whitewasteland · Answer

J'ai pu retrouver que 12 fichiers sur les 22 manquants...

Voilà la liste de ce qui manque : 

Setup_ck.dll
Audio Converter Pro Uninstaller.exe
Ckconfig.exe
Ckrfresh.exe
HideWin.exe
IsUn040c.exe
iun6002.exe
Setup_ck.exe
ST5UNST.EXE
unins000.exe

whitewasteland · Answer

Bon par contre, j'ai redémarré sous Windows, et :

1) Ca FONCTIONNE
2) Internet est RAPIDE
3) Avast ne détecte plus de Virus !!

Du coup, quid des 10 fichiers que je n'ai pas pu récupérer ?
Ca veut dire qu'ils étaient inutiles ?

En tous cas je pense qu'on en voit le bout là !!!

g3n-h@ckm@n · Answer

re 

lol je savais bien qu'il m'aurait pas alureon 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Hehe well done :) Merci beaucoup !!

Qu'est ce que t'en penses du coup pour les fichiers manquants ? On peut considérer que c'est pas grave ?

g3n-h@ckm@n · Answer

ouaip c'est pas vital je vois ce que je peux faire pour en recuperer un ou deux au pire ^^ 

reste dans le coin on a pas terminé ;) 

le uni6002.exe ont s'en fout royalement par contre
et le Audio Converter Pro Uninstaller.exe c'est un desinstalleur de ton logiciel de conversion
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Je reste dans le coin :)
Bah effectivement j'ai l'impression que dans le tas il y a pas mal de désinstalleurs !

g3n-h@ckm@n · Answer

retente de lancer ceci :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

whitewasteland · Answer

C'est lancé :)

g3n-h@ckm@n · Answer

cool ouaip la version que tu as vu en live est l'ancienne interface graphique et celle-ci c'est la nouvelle toute fraiche d'hier ^^

whitewasteland · Answer

ahah félicitations ! Du coup je fais quoi ?

g3n-h@ckm@n · Answer

ben il a fini son scan et redemarré le pc ?

whitewasteland · Answer

Ah scuse, j'avais rien lancé en fait !
Donc là j'ai fait "Kill", je vois le scan qui commence, mais j'ai les mêmes messages d'erreur que j'avais au tout début de notre périple !
:/

g3n-h@ckm@n · Answer

t'as relancé l'ancien...

whitewasteland · Answer

Bah non je l'ai téléchargé sur le lien que tu m'as filé...

g3n-h@ckm@n · Answer

le seul souci c'est qu'entre temps je l'ai entierement recodé et y'a rien à ce numero de ligne
....c'est pour ca que j'hallucine un peu

whitewasteland · Answer

Merde attends je t'ai peut-être dit une connerie...
Le numéro de ligne là c'est 12248.

g3n-h@ckm@n · Answer

héberge le bout dde rapport qui est dans c:\ stp du nom de pre_scan.txt

whitewasteland · Answer

Désolé du retard !

Voilà le début de rapport :

http://cjoint.com/12ju/BGsprDuxBr9.htm

juju666 · Answer

hello

~ Mis à jour le 12/07/2012 | 03.30 par g3n-h@ckm@n

c'est une blague? :-)

whitewasteland · Answer

Bah écoutez les gars je sais pas quoi vous dire, j'ai téléchargé le Pre_Scan du dernier lien que tu m'as filé :/

juju666 · Answer

supprime le, passe un coup de delfix : http://general-changelog-team.fr/fr/downloads/view.download/9
mode suppression/nettoyage 

puis télécharge pre_scan avec le lien donné et relance un  coup

whitewasteland · Answer

Ok sorry...

Bon je dois être maudit c'est pas possible.

Donc j'ai désinstallé Pre_Scan avec delfix, puis réinstallé la dernière version.

Et encore un message d'erreur, cette fois ci à la ligne : 12257.

Voilà le rapport :

https://www.cjoint.com/?BGspLODgf6B

J'ai vraiment pas l'impression de faire un truc de travers : /

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

whitewasteland · Answer

Voici le rapport de Combofix !

http://cjoint.com/12ju/BGsruEIJLk1.htm

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Folder::
c:\windows\Pre_Scan
c:\users\White Wasteland\AppData\Roaming\pdfforge

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spotify Web Helper"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"iTunesHelper"=-

Netsvc::
Themes

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

whitewasteland · Answer

Hello !
Voilà le nouveau rapport Combofix :
http://cjoint.com/12ju/BGtlqbA5N6W.htm

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

whitewasteland · Answer

Et voici : 
http://cjoint.com/12ju/BGtlzgKSKUj.htm

g3n-h@ckm@n · Answer

voila il a fait exactement le travail que je voulais 

commment se comporte la machine pour l'instant ?

whitewasteland · Answer

Bah écoute ça a l'air d'aller très bien... J'ai rien rencontré d'anormal jusqu'à maintenant :)

Pas de bugs/plantages, internet très rapide... On dirait que tout roule !

Tu as vraiment assuré, merci beaucoup :)

g3n-h@ckm@n · Answer

c'est fini :)


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

whitewasteland · Answer

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.13.06

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 7.0.6002.18005
White Wasteland :: LD2 [administrateur]

19/07/2012 11:45:38
mbam-log-2012-07-19 (11-45-38).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 407877
Temps écoulé: 56 minute(s), 15 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

whitewasteland · Answer

La classe américaine !

g3n-h@ckm@n · Answer

la classe américaine .....

il est pas à jour ^^

whitewasteland · Answer

Bahh je l'ai mis à jour y a 3 jours à peine !

g3n-h@ckm@n · Answer

en trois jours il font à peu près 30/40 mises à jour 

et du 13 au 19 y'a 6 jours du coup ca fait presque une semaine ^^
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

whitewasteland · Answer

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.19.08

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 7.0.6002.18005
White Wasteland :: LD2 [administrateur]

19/07/2012 13:01:35
mbam-log-2012-07-19 (13-01-35).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386620
Temps écoulé: 50 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

là je suis OK :) bon on fait le menage final ?

whitewasteland · Answer

Allez :)

g3n-h@ckm@n · Answer

voila m'sieur :)

https://gen-hackman.kanak.fr/

whitewasteland · Answer

Yeeha !
Je fais tout ça ce soir et on pourra dire que ce sujet est RESOLU !
Encore bravo ;) Et encore merci !

g3n-h@ckm@n · Answer

cool :D et attention de toujours tenir java et la gamme adobe à jour tu auras 70% de chances de moins d'etre infecté

tu devrais installer PANDA USBVaccine pour te proteger des infection via clé usb
(c'est gratuit)

whitewasteland · Answer

Et voilà, c'est tout propre !
Voici la dernière ligne du rapport de PureRa :
Total space cleaned: 314.26 MB

J'ai perdu le rapport de Delfix parce que Ccleaner m'a fermé Firefox dans lequel j'avais déjà fait mon copier coller... Mais en gros tout allait bien !

Encore une fois merci pour ta patience et bravo, il était coton celui là ^^

Sujet *roulement de tambours* RESOLU !

Virus "Alureon-K" - Page 8

Discussions similaires

Newsletters