Rootkit MBR:Alureon-K [Rtk]

Résolu/Fermé
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012 - 15 déc. 2012 à 02:01
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 16 déc. 2012 à 21:42
Bonjour,
Voilà, je suis confronté depuis cet après-midi à un rootkit détecté par avast! nommé MBR\\.\PHYSICALDRIVE0\partition2 MBR:Alureon-K [Rtk] , même après avoir tenté de l'éliminer plusieurs fois, rien n'y fait, il est toujours bel et bien là.
Ayant lu un sujet similaire sur ce site, je crée un nouveau topic pour ainsi suivre les démarches requises, car je me demandais si quelqu'un est en mesure de m'aider sur ce coup là.
Mes connaissances en informatique étant tout de même assez limitées.
Je vous remercie d'avance,
Au secours....
Christophe


A voir également:

17 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 déc. 2012 à 03:04
Salut Tophe,

Télécharge Part_Look de g3n-h@ckm@n

Click sur look et poste le rapport Part_Look.txt qui sera déposé sur ton bureau.

A+
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
15 déc. 2012 à 14:32
Salut merci pour la réponse, voilà ce qui est affiché

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

Disk: 0 Size=191G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 07-NTFS 191G Yes No 206,848 390,512,640
1 1 17-NTFS 1M No Yes 390,719,488 2,464


Merci d'avance =))
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 déc. 2012 à 14:42
Relance Part_Look
Clique sur Unhide
Répond "1" à partition number

======

Relance Part_Look
Clique sur Delete
Répond "1" à partition number

======

Supprime Part_Look.txt
Redémarre le PC
Relance Part_Look
Clique sur Look
Poste le contenu de Part_Look.txt
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
15 déc. 2012 à 16:08
Bon même après deux essais même résultat que la première fois avec une ligne en moins sur le rapport...

¤¤¤¤¤¤¤¤¤¤ Part_Look | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

Disk: 0 Size=191G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 07-NTFS 191G Yes No 206,848 390,512,640
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 déc. 2012 à 16:11
Eh ben c'est terrible ça veut dire qu'on l'a tué cet alueron :)

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
15 déc. 2012 à 19:13
Voilà après avoir tout fermé y compris avst!, j'ai dl et envoyé Pre_Scan, et suivi les instructions.
Ici le rapport Pre_Scan à la racine de C:\ https://forums-fec.be/upload/www/?action=d&id=4778047454

Et ici le fichier close demandé https://forums-fec.be/upload/www/?action=d&id=0583530927
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
15 déc. 2012 à 19:17
Par contre je n'ai pas été confronté a relancer plusieurs fois l'outil ni a voir marqué l'option scankill....
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
16 déc. 2012 à 14:27
Bon ca m'a l'air terminé depuis avast! ne me parle plus de cet alureon, merci beaucoup à toi juju666 et j'espère que mes rapports pourront vous servir par la suite! :)
Et s'il me reste encore des manoeuvres à effectuer je suis tout ouïe !
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 déc. 2012 à 15:38
Salut de retour :)

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.



Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

● Exécute le fichier après l'installation de MBAM



▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
16 déc. 2012 à 19:20
Examen complet effectué et voilà le rapport de mbam

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.16.08

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Chris :: PC-CHRIS [administrateur]

16/12/2012 18:32:10
mbam-log-2012-12-16 (18-32-10).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 276625
Temps écoulé: 30 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Chris\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 déc. 2012 à 19:38
super

on pousse les examens ou on passe deja au final ?
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
16 déc. 2012 à 19:48
Comme tu veux ça ne me dérange pas de pousser un peu les examens ^^
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 déc. 2012 à 19:53
OK alors :

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
16 déc. 2012 à 20:50
Voilà le lien pour mon rapport d'OTL:

https://forums-fec.be/upload/www/?action=d&id=4602999317

et voilà le lien pour extra :

https://forums-fec.be/upload/www/?action=d&id=7803806725
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 déc. 2012 à 20:59
PC tout propre :)

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
0
Chris13400 Messages postés 10 Date d'inscription samedi 15 décembre 2012 Statut Membre Dernière intervention 16 décembre 2012
16 déc. 2012 à 21:37
Haha merci beaucoup !!! :D :D :D

J'ai enregistré ton dernier lien dans mes favoris et ai déjà suivi les 3/4 de tes instructions.

ici voici le rapport de DelFix :

# DelFix v6.2 - Rapport créé le 16/12/2012 à 21:04:34
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Starter (32 bits)
# Nom d'utilisateur : Chris - PC-CHRIS
# Exécuté depuis : C:\Users\Chris\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Pre_Scan_15_12_2012_16_25_57.txt
Supprimé : C:\Users\Chris\Downloads\Extras.Txt
Supprimé : C:\Users\Chris\Downloads\OTL.Txt
Non Supprimé : C:\Users\Chris\Downloads\OTL.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [849 octets] - [16/12/2012 21:04:34]

########## EOF - C:\DelFix[S1].txt - [972 octets] ##########




Et là la dernière ligne de PureRa : Total space cleaned: 908.93 MB


Encore un grand merci et bonne continuation à toi :)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 déc. 2012 à 21:42
Merci et à toi aussi ;)
Je passe en résolu pour le moment.
0