Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rootkit mbr alureon k impossible à éradiquer


ninab
 Share

Messages recommandés

Bonjour à tous !

Depuis 2 jours, j'essaye de me débarrasser de cette "sale bestiole" qui me pourrit la vie. Je suis pas pro du tout en informatique.

J'ai parcouru tout le net pour trouver des outils pour l'éradiquer, rien n'y fait! j'ai essayé plusieurs antirootkits mais la bête est coriace...

Gmer est inefficace en ce qui me concerne, MBR.exe pas plus, TDSSKiller ne trouve rien.... Pourtant quand je lance aswMBR il détecte " partition 3 infected MBR : Alureon-k ",alors que je pensais que en avoir que 2 partitions (C et D) et régulièrement AVAST me colle un message d'alerte sur mon écran que j'ai un Rootkit et me demande de m'en débarrasser avec un redémarrage du PC. Mais voilà, à chaque fois , le rootkit est toujours présent...:(

Pour BitDefenderRemovalTool, il me détecte un "Rootkit MBR.Sst.B (Boot image)" et lui aussi demande un redémarrage pour finaliser la désinfection mais après niet...le rootkit est toujours là !

Je ne sais combien fois j'ai fait la restauration du système avec reformatage complet avec mon PC (de marque HP avec l'option Recovery Manager), rien à faire... J'ai un rapport édité par l'outil ZHPDiag mais je ne sais pas comment le joindre à mon post, je suis newbee et j'ai pas trop l'habitude..

Quelqu'un peut m'aidez s'il vous plait ? merci et mille mercis d'avance... :love:

Modifié par ninab
  • Upvote 1
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Vous êtes infecté par ZeroAccess qui utilise une partition cachée que vous ne pouvez voir qu'avec certains outils.

 

Tuto Avast en cas dinfection ZeroAccess

Comment changer la partition active En cas d'infection Alureon-K(TDL4):

utiliser la commande aswMBR.exe -ap 1 depuis le bureau pour activer la bonne partition

Sur XP : "%userprofile%\bureau\aswMBR.exe -ap 1"

Sur Vista et Windows 7 : "%userprofile%\desktop\aswMBR.exe -ap 1"

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

100802011301656526.jpg

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir ! et merci de me repondre.:)

 

J'avais deja fais la manip. avec la commande desktop\aswMBR.exe -ap 1, ca n'avait rien donné (du moins je crois...), j'ai recommencé avec le même resultat : une fenetre d'alerte s'affiche pour me dire "Warning : Activating wrong partition could make your system unbootable. Are you sure you want to make activate partition 1 active. Yes or No" Je choisis Yes. Le programme debute, les partitions 1,2,3 s'affichent,avec en derniere ligne " MBR partition 1 is already active" et rien apres, je n'ai aucune option même pas SCAN.

Avec aswMBR en mode classique, la ligne "Partition 3 INFECTED MBR ALUREON-K " en rouge s'affiche toujours..et j'ai l'option FIXMBR ( que je n'ose toujours pas choisir car j'ai un PC de marque HP et donc tatoué avec le risque de perdre la partition d: (avec Recovery de HP).

Avec MBRcheck, je ne comprend pas j'ai les 2 lignes la premiere avec "PhysicalDrive0 Unknown MBR (en vert)" et la seconde "Found non-standart or infected MBR ". Ca devrait etre l'une ou l'autre, non ?

Rq : j'ai toujours les mêmes symptômes, dès que je suis sur un site , 1 fois sur 2, une alarme s'affiche et m'empêche d'y accéder en me refermant la fenêtre...J'ai toujours Avast qui m'informe d'un rootkit !

 

Voilà, j'espère vous aider avec mes descriptions qui sont plus ou moins claires (je fais de mon mieux) l'informatique c'est pas trop mon domaine... :oops:

J'ai aussi des rapports de ZHPDiag et Gmer mais comment vous les transmettre ?

En tout cas, dans les situations desespérées, c'est réconfortant d'avoir des personnes comme vous... :king2:

Lien vers le commentaire
Partager sur d’autres sites

Ok.

 

Suivez cette procédure:

 

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.

Il vaut mieux alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

 

1)Si vous lancez directement Gparted

Télécharger Gparted Live

Graver l'image ISO sur un cd bootable.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence.

Lancez le cd/dvd.

Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci

GPartedGUI-ScreenieJPG.jpg

 

Chaque partition sur le disque est répertoriée avec sa taille et la partition de démarrage est normalement marquée avec un drapeau de "boot" ou bit "80".

Notez que l'espace non alloué est également représenté.

S'il y a infection TDL4,il sera occupé par une partition TDL4 mais le drapeau de boot sera caché.

et aucune autre partition ne montrera le drapeau de boot.

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, et c'est normal:pas d'infection TDL4

 

Certains des nouveaux systèmes ont ajouté la partitionde redémarrage appelée Recovery ou System Reserved

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est censée être active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

managflag2-2f3003d.jpg

Cliquez sur"Quit" quit-2f34296.jpg

Retirez le cd

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted

C'est la version la plus facile à trouver chez un marchand de journaux .

utiliser la version 32 bits.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence

Insèrez le DVD Ubuntu et relancez la machine.

 

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)

 

ubuntu1-2f38e97.jpg

- Choisissez Menu Ubuntu et validez

 

Choisisez le Français et cliquez sur "Essayer Ubuntu".

ubuntu2r-2f392c3.jpg

- Cliquez sur "Dash Home"

ubuntu3r-2f3915f.jpg

Puis "More Apps" ubuntumoreappr-2f392fc.jpg

puis en haut à gauche "See 89 more results" ubuntuseemoreappr-2f3932b.jpg

Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted" ubuntugparted1r-2f393c4.jpg

pour obtenir une page de ce genre:

GPartedGUI-ScreenieJPG.jpg

 

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

managflag2-2f3003d.jpg

 

Cliquez sur"Quit" quit-2f34296.jpg

Clic sur la roue dentée en haut à droite et "Shut Down"ubuntushutdown-2f394f3.jpg

 

Ubuntu va s'arreter,éjecter le CD et éteindre la machine.

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Ninab, Pear,

 

Zébulon n'héberge pas de documents. Ainsi, les documents que tu désires joindre à ton message doivent être confiés à un hébergeur.

 

Si ce n'est déjà fait, tu enregistres ton document sur ton disque dur.

Ensuite, tu te rends sur le site d'un hébergeur, comme par exemple icne2cjoint.png

 

zzcj1.jpg

 

Tu cliques sur le bouton « Parcourir » pour localiser ton document, puis sur zzcj2.jpg.

Enfin, tu récupères l'adresse de ton document,

 

zzcj3.jpg

 

que tu copies/colles dans ton message sur le forum.

Nota : le bouton « Copier le lien » ne fonctionne pas sous Firefox, il faut le capturer manuellement par surlignage.

Lien vers le commentaire
Partager sur d’autres sites

:hello: Bonjour à tous,

J'ai scanné le MBR avec un CD boot Gparted live iso, j'ai 3 partitions, voici le resultat :

Capacité totale du HD : /dev/sda (232.89 GB)

ligne 1 :/dev/sda1 ntfs 221.01 GB 48.10 (used) 172.91 (unused) boot

ligne 2 (en gris) :/dev/sda2 ntfs HP_recovery 11.87 9.77 2.11

ligne3(avec un triangle orange d'alarme):/dev/sda3 ntfs 2.48 ...hidden

 

J'ai fait la procedure decrite:

[Clic droit sur la partition System Reserved (HP recovery)

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close]

 

J'ai redemarré le PC et fait MBRcheck : pas de changement, le même resultat...

"PhysicalDrive0 Unknown MBR (en vert)" et "Found non-standart or infected MBR ".

 

J'ai refait Gparted live, et le tableau est revenu comme avant avec la mention "boot" sur la ligne 1, normal ou pas?

 

La partition HP-recovery est certainement infectée ( en calculant il fait 11.88 GB au lieu de 11.87, 1GB de trop...

J'ai une question un peu simpliste...mais bon ! la suppression de la partition 3, suffira-t-il a resoudre le problème ?

Dans l'attente de vous lire, à très bientôt... :trampo:

Lien vers le commentaire
Partager sur d’autres sites

Re,

Oups, j'ai vu mon post et pas tres clair ma ligne 2 :

ligne 2 (en gris) :/dev/sda2 ntfs HP_recovery 11.87GB 9.77(used) 2.11 (unused)

 

Voilà c'est mieux !

Lien vers le commentaire
Partager sur d’autres sites

la suppression de la partition 3, suffira-t-il a resoudre le problème ?

 

C'est possible et probable, compte tenu de ce que vous avez fait.

Mais avant, il serait sage de sauvegarder vos données et de vérifier que le boot est bien sur la partition recovery.

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Avant de supprimer cette "partition 3", je voudrai m'assurer de pas faire une betise... par exemple enlever la possibilité de pouvoir rebooter (car si jamais elle servait à booter ? )

J'ai voulu comparer sur un autre PC d'une autre marque (Toshiba) en faisant un Gparted live de son MBR qui semble sain et qui a 2 partitions, il y a aussi une 3e ligne avec une petite partition de 400 MiB nommé "system" qui sert à booter car il y a noté " boot" sur cette ligne.

Sur mon PC la 3eme ligne est de 2.48 GB sans nom mais notée "hidden" et le "boot" est noté sur c:

 

Pour :

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

voici une capture ecran de Gestion de l'ordinateur :

(merci à Dylav pour l'astuce :super:)

Lien CJoint.com BBsalSl7jYX

 

En cliquant droit sur c: la ligne pour activer est grisée...donc active.

En cliquant droit sur d: la ligne pour activer est noire...donc inactive.

En cliquant droit la ligne ou le volume est de 2 Mo la ligne pour activer est grisée...donc active.

 

Pour :

C'est possible et probable, compte tenu de ce que vous avez fait.

Mais avant, il serait sage de sauvegarder vos données et de vérifier que le boot est bien sur la partition recovery.

Apparemment le boot n'est pas sur la partition recovery mais est sur la partition c: mais celle de 2Mo est aussi "grisée" ( pour Gparted la notation "boot" est uniquement sur c;) ça posera un probleme pour booter ensuite ?

 

Même si je réussis à supprimer cette 3e partition, il restera 0.01GB en trop (et non de 1GB ...oups, voir plus haut)sur la partition recovery , le MBR sera-t-il completement desinfecté?

votre avis sera utile...merci encore.

Lien vers le commentaire
Partager sur d’autres sites

:outch: rectif...

J'ai noté sur mon dernier post :

Sur mon PC la 3eme ligne est de 2.48 GB sans nom mais notée "hidden" et le "boot" est noté sur c:

 

Il s'agissait de 2.48 MiB et non GiB bien sûr ! soyons précis ...car en plus du virus si j'en rajoute ! :bonk:

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...