Rootkit MBR:Alureon-K [Rtk]

Résolu
Chris13400 Messages postés 10 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Voilà, je suis confronté depuis cet après-midi à un rootkit détecté par avast! nommé MBR\\.\PHYSICALDRIVE0\partition2 MBR:Alureon-K [Rtk] , même après avoir tenté de l'éliminer plusieurs fois, rien n'y fait, il est toujours bel et bien là.
Ayant lu un sujet similaire sur ce site, je crée un nouveau topic pour ainsi suivre les démarches requises, car je me demandais si quelqu'un est en mesure de m'aider sur ce coup là.
Mes connaissances en informatique étant tout de même assez limitées.
Je vous remercie d'avance,
Au secours....
Christophe

17 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut Tophe,

    Télécharge Part_Look de g3n-h@ckm@n

    Click sur look et poste le rapport Part_Look.txt qui sera déposé sur ton bureau.

    A+
    0
  2. Chris13400 Messages postés 10 Statut Membre
     
    Salut merci pour la réponse, voilà ce qui est affiché

    ¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

    Disk: 0 Size=191G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
    --- ------ ---------- ---- ------ ---- ------------ ------------
    0 0 07-NTFS 191G Yes No 206,848 390,512,640
    1 1 17-NTFS 1M No Yes 390,719,488 2,464

    Merci d'avance =))
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Relance Part_Look
    Clique sur Unhide
    Répond "1" à partition number

    ======

    Relance Part_Look
    Clique sur Delete
    Répond "1" à partition number

    ======

    Supprime Part_Look.txt
    Redémarre le PC
    Relance Part_Look
    Clique sur Look
    Poste le contenu de Part_Look.txt
    0
  4. Chris13400 Messages postés 10 Statut Membre
     
    Bon même après deux essais même résultat que la première fois avec une ligne en moins sur le rapport...

    ¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

    Disk: 0 Size=191G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
    --- ------ ---------- ---- ------ ---- ------------ ------------
    0 0 07-NTFS 191G Yes No 206,848 390,512,640
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Eh ben c'est terrible ça veut dire qu'on l'a tué cet alueron :)

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Ne transmets pas le lien de suppression !!!

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log
    0
  7. Chris13400 Messages postés 10 Statut Membre
     
    Voilà après avoir tout fermé y compris avst!, j'ai dl et envoyé Pre_Scan, et suivi les instructions.
    Ici le rapport Pre_Scan à la racine de C:\ https://forums-fec.be/upload/www/?action=d&id=4778047454

    Et ici le fichier close demandé https://forums-fec.be/upload/www/?action=d&id=0583530927
    0
  8. Chris13400 Messages postés 10 Statut Membre
     
    Par contre je n'ai pas été confronté a relancer plusieurs fois l'outil ni a voir marqué l'option scankill....
    0
  9. Chris13400 Messages postés 10 Statut Membre
     
    Bon ca m'a l'air terminé depuis avast! ne me parle plus de cet alureon, merci beaucoup à toi juju666 et j'espère que mes rapports pourront vous servir par la suite! :)
    Et s'il me reste encore des manoeuvres à effectuer je suis tout ouïe !
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut de retour :)

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ● Exécute le fichier après l'installation de MBAM

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0
  11. Chris13400 Messages postés 10 Statut Membre
     
    Examen complet effectué et voilà le rapport de mbam

    Malwarebytes Anti-Malware 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.12.16.08

    Windows 7 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Chris :: PC-CHRIS [administrateur]

    16/12/2012 18:32:10
    mbam-log-2012-12-16 (18-32-10).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 276625
    Temps écoulé: 30 minute(s), 12 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Chris\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    super

    on pousse les examens ou on passe deja au final ?
    0
  13. Chris13400 Messages postés 10 Statut Membre
     
    Comme tu veux ça ne me dérange pas de pousser un peu les examens ^^
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK alors :

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    services.exe
    volsnap.sys
    atapi.sys
    ndisuio.sys
    net.exe
    tdx.sys
    netbt.sys
    afd.sys
    net1.exe
    Rundll32.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
    0
  15. Chris13400 Messages postés 10 Statut Membre
     
    Voilà le lien pour mon rapport d'OTL:

    https://forums-fec.be/upload/www/?action=d&id=4602999317

    et voilà le lien pour extra :

    https://forums-fec.be/upload/www/?action=d&id=7803806725
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    PC tout propre :)

    https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
    0
  17. Chris13400 Messages postés 10 Statut Membre
     
    Haha merci beaucoup !!! :D :D :D

    J'ai enregistré ton dernier lien dans mes favoris et ai déjà suivi les 3/4 de tes instructions.

    ici voici le rapport de DelFix :

    # DelFix v6.2 - Rapport créé le 16/12/2012 à 21:04:34
    # Mis à jour le 11/11/2012 par Xplode
    # Système d'exploitation : Windows 7 Starter (32 bits)
    # Nom d'utilisateur : Chris - PC-CHRIS
    # Exécuté depuis : C:\Users\Chris\Downloads\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\pre_scan

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[R1].txt
    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\Pre_Scan_15_12_2012_16_25_57.txt
    Supprimé : C:\Users\Chris\Downloads\Extras.Txt
    Supprimé : C:\Users\Chris\Downloads\OTL.Txt
    Non Supprimé : C:\Users\Chris\Downloads\OTL.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [849 octets] - [16/12/2012 21:04:34]

    ########## EOF - C:\DelFix[S1].txt - [972 octets] ##########

    Et là la dernière ligne de PureRa : Total space cleaned: 908.93 MB

    Encore un grand merci et bonne continuation à toi :)
    0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Merci et à toi aussi ;)
    Je passe en résolu pour le moment.
    0