Win32/Alureon ? ou pas.... Résolu/Fermé

Question

Bonjour, 

alors tout a débuté en essayant d'envoyer un mail avec Thunderbird. Au moment de se connecter au smtp de la poste, on m'a renvoyé un message d'erreur disant que mon adresse IP était bloquée pour des raisons de spam...

Je suis donc allé sur " The Spamhaus Project" et scanné mon adresse IP et voilà le rapport:


IP Address **.***.*.** is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2012-12-05 22:00 GMT (+/- 30 minutes), approximately 5 days, 15 hours, 29 minutes ago.

This IP is infected with, or is NATting for a machine infected with the Win32/Alureon (Microsoft) rootkit or one of its derivitives.

Aliases for Win32/Alureaon:
TR/Dldr.DNSChanger (Avira)
Win32/Alureon (CA)
Trojan.DnsChange (Dr.Web)
Trojan.Zlob (Ikarus)
Trojan-Downloader.Win32.Zlob (Kaspersky)
DNSChanger (McAfee)
Troj/Zlob (Sophos)
Trojan-Downloader.Win32.Femad (Sunbelt Software) Trojan.Zlob (Symantec)
TROJ_DNSCHAN (Trend Micro)
Subsequent versions are known as TDSS, TDL3, TDSSserv, Tidserv and many other names.

This was detected by observing this IP attempting to make contact to a Command and Control server, with contents unique to C&C command protocols.

This was detected by a TCP/IP connection from **.***.*.** on port 28917 going to IP address 143.215.130.38 (the sinkhole) on port 80.
The botnet command and control domain for this connection was "dsf5zx7giogemv2rbb2unxitof7fa3jitkn3576iyiwz7mpecxirgck6gobjzds.jlfw2gln5w36shlml5yi5xn76pub7vxm7qdnkf5y--x.gauss.sinkdns.com".

This detection corresponds to a connection at 2012-12-05 21:56:23 (GMT - this timestamp is believed accurate to within one second).


Donc je me suis dit, pas grave on va passer un coup de Malwarebytes pour nettoyer tout ça... Mais au démarrage, "Erreur d'exécution 383 - Propriété 'text' en lecture seule"

Moche alors !

C'est pas grave, on va télécharger la dernière version et écraser l'ancienne...

Au moment de lancer l'install, " The setup files are corrupted. Please obtain a new copy of this programm"

Décidément, quand ça veux pas, ça veux pas!!
Donc téléchargement d'un utilitaire de désinfection sur Kaspersky lab et au moment de lancer.... il me dit que ce n'est pas une application win32 valide !!

Donc bah là, je ne sais plus quoi faire....
Help svp

Configuration: Windows Vista / Firefox 18.0

Malekal_morte- · Accepted Answer

Ca doit être la connexion 3G qui est pas stable et du coup le fichier téléchargé au final est corrompu.  

surtotu que :
O4 - Global Startup: C:\Users\Travail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk . (.BitTorrent, Inc..)  -- C:\Program Files\uTorrent\uTorrent.exe

Ca doit bien flinguer la connexion 3G...
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Malekal_morte- · Answer

Salut,

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.


A transférer depuis un autre PC si ça télécharge pas.

Bridget. · Answer

Bonjour Speid 29,      

Puisque tu peux dater de façon précise le moment où ce problème est apparu, tente une "Restauration du système à une date antérieure".        
Comme son nom l'indique, cette forme de restauration remet ton système dans l'état où il se trouvait avant cette date, lorsque ton pc fonctionnait correctement. Avec ce retour en arrière, la modification opérée par le virus dans le registre n'existera plus. Tes données personnelles : dossiers, photos, musiques,...ne craignent rien (même celles enregistrées entre les deux dates). Simplement si une mise à jour a eu lieu entre les deux dates, tu devras la refaire.        


Pour une restauration du système à une date antérieure :        

*Fais : Démarrer / Programmes / Accessoires / Outils système / Restauration du système / Restaurer mon pc à une date antérieure.        
* Vois si la date indiquée te convient ou choisis-en une autre située avant le problème, puis fais "suivant" / "suivant" / "terminer".        
* Ne touche plus à rien. Le pc s'éteint et redemarre de lui-même, la restauration se poursuit. Un message te prévient en fin de restauration.        
* Vérifie que tout fonctionne et reviens dire ce qu'il en est.        

IMPORTANT: La meilleure façon de ne pas se faire infecter est de surfer en simple utilisateur et non pas avec les droits d'administrateur car surfer en position d'administrateur donne les mêmes droits aux pirates et aux virus. En particulier pour la messagerie où on a pas besoin des droits d'administrateur, on peut surfer à partir d'une session invité ou de simple utilisateur. On peut aussi selon les possibilités, se servir de la sandbox de son système ou de son antivirus .  

Cordialement Bridget.

Speid29 · Answer

Salut Malekal_morte,

c'est justement tdsskiller qu'il me detecte comme une application win32 non valide....

Pour Bridget,

j'y ai bien pensé mais je voulais une confirmation avant...
Je lance la restauration et je vois ce que cela donne.
A toute à l'heure....

Bridget. · Answer

Où en es-tu?

Speid29 · Answer

Alors j'ai fait uyne restauration mais je ne peux toujours pas lancer Malwarebyte's ni le désinstaller.... 

Je suis en train de le telecharger à nouveau pour essayer de faire une réinstall... 
On verra bien ce que cela va donner. 

Sinon un scan en ligne pour les malware, ça existe ?!

Premier constat, c'est pire... Thinderbird ne démarre même plus maintenant !

Bridget. · Answer

- "Sinon un scan en ligne pour les malware, ça existe ?"  
-> Regarde ici : https://www.eset.com/fr/home/products/online-scanner/
et ici des indications comment t'en servir :
https://www.generation-nt.com/comparatif-test-antivirus-gratuit-ligne-online-article-1487681-5.html

Speid29 · Answer

Salut Bridget,

désolé pour le retard de ma réponse mais je vouais voir si tout était bien stabilisé...
J'ai passé TDSS et il n'a rien trouvé, Malwarebyte's pareil...
J'ai quand même collé un coup de Spybot et Ccleaner et tout à l'air OK.
Il a juste fallu que je réinstall Thunderbird qui ne vouait plus se lancer.

En revanche, quand je telecharge certains programmes (comme une maj pour mon imprimante) il me dit que c'est n'est pas une application win32 valide au moment de l'executer....

De mémoire, cela ne m'arrivait jamais avant. Aurais-je tout de même une petite saloperie qui trainerait? Si oui, comment a détectet car Avast, Spybot, Ccleaner, Malwarebyte'sne trouvent rien....

Merci d'avance
Vincent

Bridget. · Answer

Salut Speid, On va faire un bilan. Télécharge ZHPDiag ici : https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ - Comme emplacement d'installation, choisis : Bureau

Speid29 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121214_r13z14k7c8f14

Merci encore pour le temps accordé !

g3n-h@ckm@n · Answer

nan pour verifier :   

 telecharge ca , lance-le , clique sur listing puis heberge le rapport $HDDList que tu trouveras sur le bureau, sur https://www.cjoint.com/ et donne le lien obtenu en echange   

http://forums-fec.be/gen-hackman/HDDFix.exe   
    
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Speid29 · Answer

C'est parti ... je post une fois fait

Speid29 · Answer

https://pjjoint.malekal.com/files.php?id=20121214_c5r7l10l9k11

g3n-h@ckm@n · Answer

apparemment pas.....

Speid29 · Answer

Donc en gros, quoi de neuf docteur?
C'est quoi le problème....

g3n-h@ckm@n · Answer

tu es derriere un proxy ?

Speid29 · Answer

Je ne pense pas. Je suis connecté avec une clé 3G chez Bouygues.
On peux vérifier par que moyen?

En revanche je décolle pour aler bosser donc ne vous etonnez pas si vous n'avez pas de nouvelles jusqu'a demain.

Bonne soirée à vous

g3n-h@ckm@n · Answer

bizarre.....

ok fais remonter le sujet à ton retour y'aura quelqu'un pour te repondre

Speid29 · Answer

Un petit up comme demandé...

Bridget. · Answer

Bonjour Speid, 

On va faire un peu de ménage et de mise à jour. je te mets ça en plusieurs posts, car trop longs, ils ne passent pas. 

1) Désinstalle Spybot Search & Destroy. Il est aujourd'hui dépassé par la dernière génération de virus, gène les désinfections et pompe des ressources inutilement. 

Déjà, tu peux désinstaller Spybot - Search & Destroy. Il est dépassé, gène les désinfections et crée des conflits. Nous ne l'utilisons plus depuis un moment.  
Pour une désinstallation propre et complète, procède comme suit :  

a) Désactive le résident Tea Timer si activé : Mode d'emploi  
- Pour XP, lance Spybot par double clic avec les droits d'administrateur.  
- Clique sur "Mode", puis coche "Mode avancé".  
- Clique sur "Outils" puis sur "Résident".  
- Décoche la case Résident "Tea Timer".  

b) Retire la vaccination de Spybot : Mode d'emploi  
- Ferme les navigateurs.  
- Va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche :  
- Clique sur le bouton "Annuler" (la flèche bleue qui part vers la gauche) pour annuler la vaccination.  
- S'il est demandé de confirmer, confirme.  
- Ferme Spybot.  

c) Après avoir effectué ces deux opérations, procède à une désinstallation classique via le panneau de configuration, faute de quoi il reste des traces partout. 

A suivre...

Bridget. · Answer

(suite du précédent)

2) Java, Adobe Reader et Flash Player, logiciels les plus utilisés par les internautes  sont régulièrement la cible des menaces informatiques qui profitent de leurs failles de sécurité pour infecter le pc Ils doivent donc être constamment tenus à jour.     

En ce qui concerne Java, il faut non seulement toujours veiller à avoir la dernière version mais aussi supprimer les anciennes que la mise à jour ne supprime jamais car même ces anciennes versions peuvent être exploitées pour nuire.    

Tu as la version JAVA 6 update 35 alors que nous  en sommes à la version 7 update 10.    

a) Pour nettoyer les traces des anciennes versions de Java, télécharge JavaRa ici :     
https://singularlabs.com/software/javara/javara-download/     
Clique sur le premier téléchargement (version stable)..     

- Décompresse le fichier .zip sur ton Bureau (clic droit > Extraire tout => "suivant" => "suivant" => terminer")     
- Dans le dossier de destination qui va apparaitre, clique droit sur le fichier JavaRa.exe et choisis « Exécuter en tant qu'administrateur », pour exécuter l'outil.(le .exe peut ne pas s'afficher)     
- Clique sur "Exécuter" puis sélectionne "Français" comme langue.     
- Décoche ce qui pourrait t'être proposé (barre d'outils yahoo, navigateurs.... L'installation est terminée.     

- Sur la fenêtre de JavaRa qui vient d'apparaitre, clique sur "Effacer les anciennes versions"     
- Clique sur Oui pour confirmer. L'outil va travailler, valide par Ok lorsqu'on te le demande     
- Puis clique sur "autres options » et sélectionne les options suivantes :     
=> "Effacer les fichiers JRE inutiles"     
=> "Effacer les entrées de démarrage".     
Referme l'outil.. Il sera inutile de le garder car il évolue en même temps que Java. Donc, il faudra lors de chaque nouvelle mise à jour de java, retélécharger la dernière version de JavaRa et procéder de la même façon. => garde le lien de cette page dans tes favoris pour une prochaine fois, ça te sera utile :)     

b) Installe la dernière version de Java ici :     
La dernière version qui vient tout juste de sortir n'est même pas encore sur le site java France. Donc va sur le site anglais ici :    
https://www.oracle.com/java/technologies/javase-downloads.html    
On va te demander obligeamment si tu veux un cookie. Bien évidemment, non merci.  
Donc clique sur "Ask me later" et tu débouches sur la page de téléchargements.    
Là, tu descends en dessous des icônes où il est écrit "Java Platform Standard edition"    
Tu vois écrit Java SE 7u10, choisis la colonne de droite JRE et clique sur Download.    

A suivre...

Bridget. · Answer

(suite du précédent)   

3) En ce qui concerne Adobe Reader, tu possèdes également une version obsolète.   
Tu as la version 9 upgrade 5. On est désormais à la version 11. D'ordinaire, on peut le mettre à jour facilement via son interface en cliquant sur "Aide" et "Rechercher les mises à jou"  ou en automatique.  Compte tenu des évolutions importantes de cette dernière version, il faut désinstaller complétement l'ancienne avant d'installer la nouvelle. En cas de problèmes de désinstallation, reviens et je t'indiquerai quoi faire. 

Tu as également une autre solution, c'est de changer pour Foxit reader moins lourd. A toi de comparer les deux en fonction de tes attentes.   Je te mets les deux;   

Adobe Reader :   
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/   

Foxit Reader :   
https://www.commentcamarche.net/telecharger/bureautique/10297-foxit-pdf-reader/   
Attention : Lors de l'installation, décocher la Foxit Toolbar, le moteur de recherche Ask  et la page d'ouverture du navigateur sur Foxit.    

FIN ...pour le moment :)

juju666 · Answer

salut

personne demande à voir le rapport de combofix ... ?

juju666 · Answer

Salut, 

Malekal t'as indiqué de supprimer uTorrent pour tester, ici : https://forums.commentcamarche.net/forum/affich-26650892-win32-alureon-ou-pas?page=2#29

En effet en 3G comment veux-tu, déjà que c'est pas stable ni très rapide, alors avec uTorrent derrière faut pas espérer un miracle.

Et si tu pouvais tester ta connexion 3G sur un autre PC pour voir si ça change quelque chose.

A+
  
 .::. Contributeur Sécurité .::.

Speid29 · Answer

Salut Juju et merci pour ta réponse.
Ce que je voulais justement savoir c'est:
 1/ Dans les parametres de Utorrent, j'ai décoché le lancement au démarrage. Quand je telecharge des logiciels et/ou mises à jour, Utorrent ne fonctionne pas et il n'est même pas lancé....

2/ Est-ce que même avec ce mode de fonctionnement Utorrent est nuisible à ma connexion? 

Merci d'avance

Bridget. · Answer

C'est le peer-to-peer, en lui-même qui  pose de nombreux problèmes sécuritaires, en particulier de multiples infections, de  par son architecture même (téléchargement de fichiers sans en connaître la source ni l'intégrité) et parce que, touchant une multitude de gens, il est particulièrement le terrain de chasse des cybercriminels et des virus. Surtout si les logiciels sensibles aux infections ne sont pas à jour, ce qui est ton cas. As-tu fait les mises à jour que je t'avais demandées de faire ?

Un peu de lecture pour t'éclairer :
https://forum.malekal.com/viewtopic.php?t=3208&start=
http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

g3n-h@ckm@n · Answer

tout depend de l'utilisation que tu as de ton pc

Bridget. · Answer

Salut Speid, je n'avais pas vu ton message hier où tu mettais que tu étais en train de faire les mises à jour :) D'où ma demande aujourd'hui.    
As-tu désinstallé Spybot ?    

Tu peux garder MBAM, tout en ayant à l'esprit que ce n'est pas parce que le rapport ne présente aucune menace que tout baigne. Ca signifie juste que MBAM n'a pas trouvé les menaces pour lequel il est programmé. Mais il peut y avoir autrechose qui traine sur le pc. C'est une indication intéressante si on a un usage pépère mais pas si on a des pratiques à risques. En tous cas, même en présence d'un rapport MBAM clean, si le pc présente des symptômes curieux, ne pas en rester là et demander de l'aide sur le forum avec un ZHODiag.    

Pour cette fois, même si tu n'as rien de sérieux, tu as cependant quelques adwares.     
 Télécharge ADWCleaner ici :     
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner     
- Comme emplacement d'installation, choisis : Bureau.     
- Clique droit sur l'icône et choisis "Exécuter en tant qu'administrateur".     
- Le fichier apparait : clique sur "Exécuter"     
- L'utilitaire s'ouvre : choisis le mode "Suppression".     
- Un rapport sera généré.     
- Tu le trouves en faisant : Démarrer /poste de travail / disque dur c     
:- Héberge le rapport sur https://www.cjoint.com/     
- Un lien sera créé. Copie-le et colle-le dans ta prochaine réponse.     

NB : Si tu as déjà ADWCleaner sur ton pc, ouvre-le et clique sur désinstaller,     
puis télécharge la dernière version car l'outil évolue sans cesse en fonction des nouvelles menaces, il est donc inutile de le conserver .]     

Donc en résumé :    

- Supprime Spybot et Glary Utilities    
- Garde MBAM en mettant à jour les bases virales avant chaque examen. 
Un scan rapide hebdomadaire  ou en cas de doute avec les réserves ci-dessus.

Speid29 · Answer

https://www.cjoint.com/?BLsi7TnpLtB

Win32/Alureon ? ou pas....

29 réponses

Discussions similaires