Win32/Alureon ? ou pas....
Résolu
Speid29
Messages postés
88
Date d'inscription
Statut
Membre
Dernière intervention
-
Speid29 Messages postés 88 Date d'inscription Statut Membre Dernière intervention -
Speid29 Messages postés 88 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
alors tout a débuté en essayant d'envoyer un mail avec Thunderbird. Au moment de se connecter au smtp de la poste, on m'a renvoyé un message d'erreur disant que mon adresse IP était bloquée pour des raisons de spam...
Je suis donc allé sur " The Spamhaus Project" et scanné mon adresse IP et voilà le rapport:
IP Address **.***.*.** is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.
It was last detected at 2012-12-05 22:00 GMT (+/- 30 minutes), approximately 5 days, 15 hours, 29 minutes ago.
This IP is infected with, or is NATting for a machine infected with the Win32/Alureon (Microsoft) rootkit or one of its derivitives.
Aliases for Win32/Alureaon:
TR/Dldr.DNSChanger (Avira)
Win32/Alureon (CA)
Trojan.DnsChange (Dr.Web)
Trojan.Zlob (Ikarus)
Trojan-Downloader.Win32.Zlob (Kaspersky)
DNSChanger (McAfee)
Troj/Zlob (Sophos)
Trojan-Downloader.Win32.Femad (Sunbelt Software) Trojan.Zlob (Symantec)
TROJ_DNSCHAN (Trend Micro)
Subsequent versions are known as TDSS, TDL3, TDSSserv, Tidserv and many other names.
This was detected by observing this IP attempting to make contact to a Command and Control server, with contents unique to C&C command protocols.
This was detected by a TCP/IP connection from **.***.*.** on port 28917 going to IP address 143.215.130.38 (the sinkhole) on port 80.
The botnet command and control domain for this connection was "dsf5zx7giogemv2rbb2unxitof7fa3jitkn3576iyiwz7mpecxirgck6gobjzds.jlfw2gln5w36shlml5yi5xn76pub7vxm7qdnkf5y--x.gauss.sinkdns.com".
This detection corresponds to a connection at 2012-12-05 21:56:23 (GMT - this timestamp is believed accurate to within one second).
Donc je me suis dit, pas grave on va passer un coup de Malwarebytes pour nettoyer tout ça... Mais au démarrage, "Erreur d'exécution 383 - Propriété 'text' en lecture seule"
Moche alors !
C'est pas grave, on va télécharger la dernière version et écraser l'ancienne...
Au moment de lancer l'install, " The setup files are corrupted. Please obtain a new copy of this programm"
Décidément, quand ça veux pas, ça veux pas!!
Donc téléchargement d'un utilitaire de désinfection sur Kaspersky lab et au moment de lancer.... il me dit que ce n'est pas une application win32 valide !!
Donc bah là, je ne sais plus quoi faire....
Help svp
alors tout a débuté en essayant d'envoyer un mail avec Thunderbird. Au moment de se connecter au smtp de la poste, on m'a renvoyé un message d'erreur disant que mon adresse IP était bloquée pour des raisons de spam...
Je suis donc allé sur " The Spamhaus Project" et scanné mon adresse IP et voilà le rapport:
IP Address **.***.*.** is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.
It was last detected at 2012-12-05 22:00 GMT (+/- 30 minutes), approximately 5 days, 15 hours, 29 minutes ago.
This IP is infected with, or is NATting for a machine infected with the Win32/Alureon (Microsoft) rootkit or one of its derivitives.
Aliases for Win32/Alureaon:
TR/Dldr.DNSChanger (Avira)
Win32/Alureon (CA)
Trojan.DnsChange (Dr.Web)
Trojan.Zlob (Ikarus)
Trojan-Downloader.Win32.Zlob (Kaspersky)
DNSChanger (McAfee)
Troj/Zlob (Sophos)
Trojan-Downloader.Win32.Femad (Sunbelt Software) Trojan.Zlob (Symantec)
TROJ_DNSCHAN (Trend Micro)
Subsequent versions are known as TDSS, TDL3, TDSSserv, Tidserv and many other names.
This was detected by observing this IP attempting to make contact to a Command and Control server, with contents unique to C&C command protocols.
This was detected by a TCP/IP connection from **.***.*.** on port 28917 going to IP address 143.215.130.38 (the sinkhole) on port 80.
The botnet command and control domain for this connection was "dsf5zx7giogemv2rbb2unxitof7fa3jitkn3576iyiwz7mpecxirgck6gobjzds.jlfw2gln5w36shlml5yi5xn76pub7vxm7qdnkf5y--x.gauss.sinkdns.com".
This detection corresponds to a connection at 2012-12-05 21:56:23 (GMT - this timestamp is believed accurate to within one second).
Donc je me suis dit, pas grave on va passer un coup de Malwarebytes pour nettoyer tout ça... Mais au démarrage, "Erreur d'exécution 383 - Propriété 'text' en lecture seule"
Moche alors !
C'est pas grave, on va télécharger la dernière version et écraser l'ancienne...
Au moment de lancer l'install, " The setup files are corrupted. Please obtain a new copy of this programm"
Décidément, quand ça veux pas, ça veux pas!!
Donc téléchargement d'un utilitaire de désinfection sur Kaspersky lab et au moment de lancer.... il me dit que ce n'est pas une application win32 valide !!
Donc bah là, je ne sais plus quoi faire....
Help svp
A voir également:
- Win32/Alureon ? ou pas....
- Puabundler win32 candyopen - Forum Virus
- Win32:miscx-gen ✓ - Forum Linux / Unix
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
- Trojan win32 - Forum Virus
29 réponses
Ca doit être la connexion 3G qui est pas stable et du coup le fichier téléchargé au final est corrompu.
surtotu que :
O4 - Global Startup: C:\Users\Travail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk . (.BitTorrent, Inc..) -- C:\Program Files\uTorrent\uTorrent.exe
Ca doit bien flinguer la connexion 3G...
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
surtotu que :
O4 - Global Startup: C:\Users\Travail\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk . (.BitTorrent, Inc..) -- C:\Program Files\uTorrent\uTorrent.exe
Ca doit bien flinguer la connexion 3G...
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
juju666
Messages postés
35446
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
4 796
lol oui +1 :)
Bridget.
Messages postés
3816
Date d'inscription
Statut
Contributeur
Dernière intervention
404
C'est ce que j'ai pensé dès le départ. :)
Utilisateur anonyme
dit-elle après 30 posts .....
juju666
Messages postés
35446
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
4 796
mdr
Bridget.
Messages postés
3816
Date d'inscription
Statut
Contributeur
Dernière intervention
404
C'est vrai, c'est ce que j'ai pensé de suite mais je vous ai laissé faire vu vous avez plus d'années de désinfection que moi, je ne voulais pas laisser passer quelquechose qui m'aurait ensuite été reproché :)
Salut,
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
A transférer depuis un autre PC si ça télécharge pas.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
A transférer depuis un autre PC si ça télécharge pas.
Bonjour Speid 29,
Puisque tu peux dater de façon précise le moment où ce problème est apparu, tente une "Restauration du système à une date antérieure".
Comme son nom l'indique, cette forme de restauration remet ton système dans l'état où il se trouvait avant cette date, lorsque ton pc fonctionnait correctement. Avec ce retour en arrière, la modification opérée par le virus dans le registre n'existera plus. Tes données personnelles : dossiers, photos, musiques,...ne craignent rien (même celles enregistrées entre les deux dates). Simplement si une mise à jour a eu lieu entre les deux dates, tu devras la refaire.
Pour une restauration du système à une date antérieure :
*Fais : Démarrer / Programmes / Accessoires / Outils système / Restauration du système / Restaurer mon pc à une date antérieure.
* Vois si la date indiquée te convient ou choisis-en une autre située avant le problème, puis fais "suivant" / "suivant" / "terminer".
* Ne touche plus à rien. Le pc s'éteint et redemarre de lui-même, la restauration se poursuit. Un message te prévient en fin de restauration.
* Vérifie que tout fonctionne et reviens dire ce qu'il en est.
IMPORTANT: La meilleure façon de ne pas se faire infecter est de surfer en simple utilisateur et non pas avec les droits d'administrateur car surfer en position d'administrateur donne les mêmes droits aux pirates et aux virus. En particulier pour la messagerie où on a pas besoin des droits d'administrateur, on peut surfer à partir d'une session invité ou de simple utilisateur. On peut aussi selon les possibilités, se servir de la sandbox de son système ou de son antivirus .
Cordialement Bridget.
Puisque tu peux dater de façon précise le moment où ce problème est apparu, tente une "Restauration du système à une date antérieure".
Comme son nom l'indique, cette forme de restauration remet ton système dans l'état où il se trouvait avant cette date, lorsque ton pc fonctionnait correctement. Avec ce retour en arrière, la modification opérée par le virus dans le registre n'existera plus. Tes données personnelles : dossiers, photos, musiques,...ne craignent rien (même celles enregistrées entre les deux dates). Simplement si une mise à jour a eu lieu entre les deux dates, tu devras la refaire.
Pour une restauration du système à une date antérieure :
*Fais : Démarrer / Programmes / Accessoires / Outils système / Restauration du système / Restaurer mon pc à une date antérieure.
* Vois si la date indiquée te convient ou choisis-en une autre située avant le problème, puis fais "suivant" / "suivant" / "terminer".
* Ne touche plus à rien. Le pc s'éteint et redemarre de lui-même, la restauration se poursuit. Un message te prévient en fin de restauration.
* Vérifie que tout fonctionne et reviens dire ce qu'il en est.
IMPORTANT: La meilleure façon de ne pas se faire infecter est de surfer en simple utilisateur et non pas avec les droits d'administrateur car surfer en position d'administrateur donne les mêmes droits aux pirates et aux virus. En particulier pour la messagerie où on a pas besoin des droits d'administrateur, on peut surfer à partir d'une session invité ou de simple utilisateur. On peut aussi selon les possibilités, se servir de la sandbox de son système ou de son antivirus .
Cordialement Bridget.
Salut Malekal_morte,
c'est justement tdsskiller qu'il me detecte comme une application win32 non valide....
Pour Bridget,
j'y ai bien pensé mais je voulais une confirmation avant...
Je lance la restauration et je vois ce que cela donne.
A toute à l'heure....
c'est justement tdsskiller qu'il me detecte comme une application win32 non valide....
Pour Bridget,
j'y ai bien pensé mais je voulais une confirmation avant...
Je lance la restauration et je vois ce que cela donne.
A toute à l'heure....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Alors j'ai fait uyne restauration mais je ne peux toujours pas lancer Malwarebyte's ni le désinstaller....
Je suis en train de le telecharger à nouveau pour essayer de faire une réinstall...
On verra bien ce que cela va donner.
Sinon un scan en ligne pour les malware, ça existe ?!
Premier constat, c'est pire... Thinderbird ne démarre même plus maintenant !
Je suis en train de le telecharger à nouveau pour essayer de faire une réinstall...
On verra bien ce que cela va donner.
Sinon un scan en ligne pour les malware, ça existe ?!
Premier constat, c'est pire... Thinderbird ne démarre même plus maintenant !
- "Sinon un scan en ligne pour les malware, ça existe ?"
-> Regarde ici : https://www.eset.com/fr/home/products/online-scanner/
et ici des indications comment t'en servir :
https://www.generation-nt.com/comparatif-test-antivirus-gratuit-ligne-online-article-1487681-5.html
-> Regarde ici : https://www.eset.com/fr/home/products/online-scanner/
et ici des indications comment t'en servir :
https://www.generation-nt.com/comparatif-test-antivirus-gratuit-ligne-online-article-1487681-5.html
Salut Bridget,
désolé pour le retard de ma réponse mais je vouais voir si tout était bien stabilisé...
J'ai passé TDSS et il n'a rien trouvé, Malwarebyte's pareil...
J'ai quand même collé un coup de Spybot et Ccleaner et tout à l'air OK.
Il a juste fallu que je réinstall Thunderbird qui ne vouait plus se lancer.
En revanche, quand je telecharge certains programmes (comme une maj pour mon imprimante) il me dit que c'est n'est pas une application win32 valide au moment de l'executer....
De mémoire, cela ne m'arrivait jamais avant. Aurais-je tout de même une petite saloperie qui trainerait? Si oui, comment a détectet car Avast, Spybot, Ccleaner, Malwarebyte'sne trouvent rien....
Merci d'avance
Vincent
désolé pour le retard de ma réponse mais je vouais voir si tout était bien stabilisé...
J'ai passé TDSS et il n'a rien trouvé, Malwarebyte's pareil...
J'ai quand même collé un coup de Spybot et Ccleaner et tout à l'air OK.
Il a juste fallu que je réinstall Thunderbird qui ne vouait plus se lancer.
En revanche, quand je telecharge certains programmes (comme une maj pour mon imprimante) il me dit que c'est n'est pas une application win32 valide au moment de l'executer....
De mémoire, cela ne m'arrivait jamais avant. Aurais-je tout de même une petite saloperie qui trainerait? Si oui, comment a détectet car Avast, Spybot, Ccleaner, Malwarebyte'sne trouvent rien....
Merci d'avance
Vincent
Salut Speid,
On va faire un bilan. Télécharge ZHPDiag ici :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
- Comme emplacement d'installation, choisis : <gras>Bureau </gras.
- Laisse-toi guider lors de l'installation,
coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
Tu verras 3 nouvelles icônes sur le bureau : ZHPDiag, ZHPFix et MBRcheck.
- Sous windows 7 et Vista, lance ZHPDiag par clic droit sur l'icône en forme de parchemin et choisis "Exécuter en tant qu'administrateur".
- ZHPDiag s'ouvre : Si la fenêtre est trop large, réduis-la pour voir tous les boutons.
- Clique sur celui avec la flèche verte à droite, pour mettre ZHPDiag à jour.
- Puis clique sur celui représentant une loupe à gauche pour "Lancer le diagnostic".
- Laisse l'examen se dérouler. Un message en bas de page prévient qu'il est terminé.
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant un appareil photo.
- Héberge le rapport ZHPDiag.txt sur le site : http://pjjoint.malekal.com
Comment faire :?
Rends-toi sur http://pjjoint.malekal.com
* Clique sur le bouton "Parcourir"
* Sélectionne le fichier que tu veux héberger et clique sur "Ouvrir".
* Clique sur le bouton "Envoyer"
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondants pour visualiser le fichier est par ex : https://pjjoint.malekal.com/files.php?id=df5ea299241015
* Copie le lien créé et colle-le dans ta réponse.
Si quelquechose n'est pas clair, n'hésite pas à demander :)
Merci de respecter les sites d'hébergement demandés.
Cordialement Bridget.
On va faire un bilan. Télécharge ZHPDiag ici :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
- Comme emplacement d'installation, choisis : <gras>Bureau </gras.
- Laisse-toi guider lors de l'installation,
coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
Tu verras 3 nouvelles icônes sur le bureau : ZHPDiag, ZHPFix et MBRcheck.
- Sous windows 7 et Vista, lance ZHPDiag par clic droit sur l'icône en forme de parchemin et choisis "Exécuter en tant qu'administrateur".
- ZHPDiag s'ouvre : Si la fenêtre est trop large, réduis-la pour voir tous les boutons.
- Clique sur celui avec la flèche verte à droite, pour mettre ZHPDiag à jour.
- Puis clique sur celui représentant une loupe à gauche pour "Lancer le diagnostic".
- Laisse l'examen se dérouler. Un message en bas de page prévient qu'il est terminé.
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant un appareil photo.
- Héberge le rapport ZHPDiag.txt sur le site : http://pjjoint.malekal.com
Comment faire :?
Rends-toi sur http://pjjoint.malekal.com
* Clique sur le bouton "Parcourir"
* Sélectionne le fichier que tu veux héberger et clique sur "Ouvrir".
* Clique sur le bouton "Envoyer"
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondants pour visualiser le fichier est par ex : https://pjjoint.malekal.com/files.php?id=df5ea299241015
* Copie le lien créé et colle-le dans ta réponse.
Si quelquechose n'est pas clair, n'hésite pas à demander :)
Merci de respecter les sites d'hébergement demandés.
Cordialement Bridget.
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121214_r13z14k7c8f14
Merci encore pour le temps accordé !
Merci encore pour le temps accordé !
nan pour verifier :
telecharge ca , lance-le , clique sur listing puis heberge le rapport $HDDList que tu trouveras sur le bureau, sur https://www.cjoint.com/ et donne le lien obtenu en echange
http://forums-fec.be/gen-hackman/HDDFix.exe
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
telecharge ca , lance-le , clique sur listing puis heberge le rapport $HDDList que tu trouveras sur le bureau, sur https://www.cjoint.com/ et donne le lien obtenu en echange
http://forums-fec.be/gen-hackman/HDDFix.exe
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Je ne pense pas. Je suis connecté avec une clé 3G chez Bouygues.
On peux vérifier par que moyen?
En revanche je décolle pour aler bosser donc ne vous etonnez pas si vous n'avez pas de nouvelles jusqu'a demain.
Bonne soirée à vous
On peux vérifier par que moyen?
En revanche je décolle pour aler bosser donc ne vous etonnez pas si vous n'avez pas de nouvelles jusqu'a demain.
Bonne soirée à vous
Bonjour Speid,
On va faire un peu de ménage et de mise à jour. je te mets ça en plusieurs posts, car trop longs, ils ne passent pas.
1) Désinstalle Spybot Search & Destroy. Il est aujourd'hui dépassé par la dernière génération de virus, gène les désinfections et pompe des ressources inutilement.
Déjà, tu peux désinstaller Spybot - Search & Destroy. Il est dépassé, gène les désinfections et crée des conflits. Nous ne l'utilisons plus depuis un moment.
Pour une désinstallation propre et complète, procède comme suit :
a) Désactive le résident Tea Timer si activé : Mode d'emploi
- Pour XP, lance Spybot par double clic avec les droits d'administrateur.
- Clique sur "Mode", puis coche "Mode avancé".
- Clique sur "Outils" puis sur "Résident".
- Décoche la case Résident "Tea Timer".
b) Retire la vaccination de Spybot : Mode d'emploi
- Ferme les navigateurs.
- Va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche :
- Clique sur le bouton "Annuler" (la flèche bleue qui part vers la gauche) pour annuler la vaccination.
- S'il est demandé de confirmer, confirme.
- Ferme Spybot.
c) Après avoir effectué ces deux opérations, procède à une désinstallation classique via le panneau de configuration, faute de quoi il reste des traces partout.
A suivre...
On va faire un peu de ménage et de mise à jour. je te mets ça en plusieurs posts, car trop longs, ils ne passent pas.
1) Désinstalle Spybot Search & Destroy. Il est aujourd'hui dépassé par la dernière génération de virus, gène les désinfections et pompe des ressources inutilement.
Déjà, tu peux désinstaller Spybot - Search & Destroy. Il est dépassé, gène les désinfections et crée des conflits. Nous ne l'utilisons plus depuis un moment.
Pour une désinstallation propre et complète, procède comme suit :
a) Désactive le résident Tea Timer si activé : Mode d'emploi
- Pour XP, lance Spybot par double clic avec les droits d'administrateur.
- Clique sur "Mode", puis coche "Mode avancé".
- Clique sur "Outils" puis sur "Résident".
- Décoche la case Résident "Tea Timer".
b) Retire la vaccination de Spybot : Mode d'emploi
- Ferme les navigateurs.
- Va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche :
- Clique sur le bouton "Annuler" (la flèche bleue qui part vers la gauche) pour annuler la vaccination.
- S'il est demandé de confirmer, confirme.
- Ferme Spybot.
c) Après avoir effectué ces deux opérations, procède à une désinstallation classique via le panneau de configuration, faute de quoi il reste des traces partout.
A suivre...