Rootkit mbr alureon k impossible à éradiquer

[ninab]

Bonjour à tous !

Depuis 2 jours, j'essaye de me débarrasser de cette "sale bestiole" qui me pourrit la vie. Je suis pas pro du tout en informatique.

J'ai parcouru tout le net pour trouver des outils pour l'éradiquer, rien n'y fait! j'ai essayé plusieurs antirootkits mais la bête est coriace...

Gmer est inefficace en ce qui me concerne, MBR.exe pas plus, TDSSKiller ne trouve rien.... Pourtant quand je lance aswMBR il détecte " partition 3 infected MBR : Alureon-k ",alors que je pensais que en avoir que 2 partitions (C et D) et régulièrement AVAST me colle un message d'alerte sur mon écran que j'ai un Rootkit et me demande de m'en débarrasser avec un redémarrage du PC. Mais voilà, à chaque fois , le rootkit est toujours présent...

Pour BitDefenderRemovalTool, il me détecte un "Rootkit MBR.Sst.B (Boot image)" et lui aussi demande un redémarrage pour finaliser la désinfection mais après niet...le rootkit est toujours là !

Je ne sais combien fois j'ai fait la restauration du système avec reformatage complet avec mon PC (de marque HP avec l'option Recovery Manager), rien à faire... J'ai un rapport édité par l'outil ZHPDiag mais je ne sais pas comment le joindre à mon post, je suis newbee et j'ai pas trop l'habitude..

Quelqu'un peut m'aidez s'il vous plait ? merci et mille mercis d'avance...

Modifié le 23 février 2012 par ninab

[pear]

Bonjour,

 

Vous êtes infecté par ZeroAccess qui utilise une partition cachée que vous ne pouvez voir qu'avec certains outils.

 

Tuto Avast en cas dinfection ZeroAccess

Comment changer la partition active En cas d'infection Alureon-K(TDL4):

utiliser la commande aswMBR.exe -ap 1 depuis le bureau pour activer la bonne partition

Sur XP : "%userprofile%\bureau\aswMBR.exe -ap 1"

Sur Vista et Windows 7 : "%userprofile%\desktop\aswMBR.exe -ap 1"

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Dites si vous avez , en vert, le message Windows Xp Mbr code dtected

ou

si c'est ce message qui apparait:

Found non-standard or infected MBR.

ou Mbr Code Faked

 

Taper N pour quitter

[ninab]

Bonsoir ! et merci de me repondre.

 

J'avais deja fais la manip. avec la commande desktop\aswMBR.exe -ap 1, ca n'avait rien donné (du moins je crois...), j'ai recommencé avec le même resultat : une fenetre d'alerte s'affiche pour me dire "Warning : Activating wrong partition could make your system unbootable. Are you sure you want to make activate partition 1 active. Yes or No" Je choisis Yes. Le programme debute, les partitions 1,2,3 s'affichent,avec en derniere ligne " MBR partition 1 is already active" et rien apres, je n'ai aucune option même pas SCAN.

Avec aswMBR en mode classique, la ligne "Partition 3 INFECTED MBR ALUREON-K " en rouge s'affiche toujours..et j'ai l'option FIXMBR ( que je n'ose toujours pas choisir car j'ai un PC de marque HP et donc tatoué avec le risque de perdre la partition d: (avec Recovery de HP).

Avec MBRcheck, je ne comprend pas j'ai les 2 lignes la premiere avec "PhysicalDrive0 Unknown MBR (en vert)" et la seconde "Found non-standart or infected MBR ". Ca devrait etre l'une ou l'autre, non ?

Rq : j'ai toujours les mêmes symptômes, dès que je suis sur un site , 1 fois sur 2, une alarme s'affiche et m'empêche d'y accéder en me refermant la fenêtre...J'ai toujours Avast qui m'informe d'un rootkit !

 

Voilà, j'espère vous aider avec mes descriptions qui sont plus ou moins claires (je fais de mon mieux) l'informatique c'est pas trop mon domaine...

J'ai aussi des rapports de ZHPDiag et Gmer mais comment vous les transmettre ?

En tout cas, dans les situations desespérées, c'est réconfortant d'avoir des personnes comme vous...

[pear]

Ok.

 

Suivez cette procédure:

 

Sur certaines machines de constructeurs comme HP, la version allégée de gparted proposée ci-dessous fait problème.

Il vaut mieux alors utiliser la version Gparted contenue dans un livecd Linux comme Ubuntu .

 

1)Si vous lancez directement Gparted

Télécharger Gparted Live

Graver l'image ISO sur un cd bootable.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence.

Lancez le cd/dvd.

Acceptez toutes les options par défaut en appuyant sur Entrée, jusqu'à ce que vous arriviez à un écran qui ressemble à ceci

 

Chaque partition sur le disque est répertoriée avec sa taille et la partition de démarrage est normalement marquée avec un drapeau de "boot" ou bit "80".

Notez que l'espace non alloué est également représenté.

S'il y a infection TDL4,il sera occupé par une partition TDL4 mais le drapeau de boot sera caché.

et aucune autre partition ne montrera le drapeau de boot.

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, et c'est normal:pas d'infection TDL4

 

Certains des nouveaux systèmes ont ajouté la partitionde redémarrage appelée Recovery ou System Reserved

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est censée être active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

Cliquez sur"Quit"

Retirez le cd

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

 

 

2) Avec le DVD d'installation de Ubuntu 11.10 qui comprend Gparted

C'est la version la plus facile à trouver chez un marchand de journaux .

utiliser la version 32 bits.

Dans le bios la séquence de boot doit indiquer en "First boot"le lecteur de CD/DVD.

Si besoin , modifier le bios en conséquence

Insèrez le DVD Ubuntu et relancez la machine.

 

Vous devriez voir un écran comme ceci(variable selon la version Ubuntu utilisée)

 

- Choisissez Menu Ubuntu et validez

 

Choisisez le Français et cliquez sur "Essayer Ubuntu".

- Cliquez sur "Dash Home"

Puis "More Apps"

puis en haut à gauche "See 89 more results"

Dans la nouvelle page ,cliquez l'icone "Editeur de partition Gparted"

pour obtenir une page de ce genre:

 

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

 

Clic droit sur la partition System Reserved

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close

 

Cliquez sur"Quit"

Clic sur la roue dentée en haut à droite et "Shut Down"

 

Ubuntu va s'arreter,éjecter le CD et éteindre la machine.

Redémarrez Windows

Lancer MbrCheck pour vérifier que le Mbr est correct.

par exemple:

Size Device Name MBR Status

--------------------------------------------

149 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

[Dylav]

Bonjour Ninab, Pear,

 

Zébulon n'héberge pas de documents. Ainsi, les documents que tu désires joindre à ton message doivent être confiés à un hébergeur.

 

Si ce n'est déjà fait, tu enregistres ton document sur ton disque dur.

Ensuite, tu te rends sur le site d'un hébergeur, comme par exemple

 

 

Tu cliques sur le bouton « Parcourir » pour localiser ton document, puis sur .

Enfin, tu récupères l'adresse de ton document,

 

 

que tu copies/colles dans ton message sur le forum.

Nota : le bouton « Copier le lien » ne fonctionne pas sous Firefox, il faut le capturer manuellement par surlignage.

[ninab]

Bonjour à tous,

J'ai scanné le MBR avec un CD boot Gparted live iso, j'ai 3 partitions, voici le resultat :

Capacité totale du HD : /dev/sda (232.89 GB)

ligne 1 :/dev/sda1 ntfs 221.01 GB 48.10 (used) 172.91 (unused) boot

ligne 2 (en gris) :/dev/sda2 ntfs HP_recovery 11.87 9.77 2.11

ligne3(avec un triangle orange d'alarme):/dev/sda3 ntfs 2.48 ...hidden

 

J'ai fait la procedure decrite:

[Clic droit sur la partition System Reserved (HP recovery)

Sélectionner "Manage Flags" et cocher "Boot" puis clic sur Close]

 

J'ai redemarré le PC et fait MBRcheck : pas de changement, le même resultat...

"PhysicalDrive0 Unknown MBR (en vert)" et "Found non-standart or infected MBR ".

 

J'ai refait Gparted live, et le tableau est revenu comme avant avec la mention "boot" sur la ligne 1, normal ou pas?

 

La partition HP-recovery est certainement infectée ( en calculant il fait 11.88 GB au lieu de 11.87, 1GB de trop...

J'ai une question un peu simpliste...mais bon ! la suppression de la partition 3, suffira-t-il a resoudre le problème ?

Dans l'attente de vous lire, à très bientôt...

[ninab]

Re,

Oups, j'ai vu mon post et pas tres clair ma ligne 2 :

ligne 2 (en gris) :/dev/sda2 ntfs HP_recovery 11.87GB 9.77(used) 2.11 (unused)

 

Voilà c'est mieux !

[pear]

la suppression de la partition 3, suffira-t-il a resoudre le problème ?

 

C'est possible et probable, compte tenu de ce que vous avez fait.

Mais avant, il serait sage de sauvegarder vos données et de vérifier que le boot est bien sur la partition recovery.

Modifié le 17 février 2012 par pear

[ninab]

Avant de supprimer cette "partition 3", je voudrai m'assurer de pas faire une betise... par exemple enlever la possibilité de pouvoir rebooter (car si jamais elle servait à booter ? )

J'ai voulu comparer sur un autre PC d'une autre marque (Toshiba) en faisant un Gparted live de son MBR qui semble sain et qui a 2 partitions, il y a aussi une 3e ligne avec une petite partition de 400 MiB nommé "system" qui sert à booter car il y a noté " boot" sur cette ligne.

Sur mon PC la 3eme ligne est de 2.48 GB sans nom mais notée "hidden" et le "boot" est noté sur c:

 

Pour :

Clic droit sur Poste de travail->Ordinateur,

clic gauche->Manage

à gauche cliquez sur Gestion des disques.

clic droit sur le disque principal (généralement C),

si l'option "Marquer la partition comme active" est grisé

c'est la partition active, donc pas susceptible d'être infectée par le bootkit.

 

Certains des nouveaux systèmes ont ajouté la Console de récupération (Recovery Console)

qui est généralement active,

donc si l'utilisateur voit sur lecteur C "Marquer la partition comme active"en noir(non grisé)

c'est alors la partition "Recovery" ou "System Reserved" qui est active et susceptible d'être infectée.

voici une capture ecran de Gestion de l'ordinateur :

(merci à Dylav pour l'astuce )

Lien CJoint.com BBsalSl7jYX

 

En cliquant droit sur c: la ligne pour activer est grisée...donc active.

En cliquant droit sur d: la ligne pour activer est noire...donc inactive.

En cliquant droit la ligne ou le volume est de 2 Mo la ligne pour activer est grisée...donc active.

 

Pour :

C'est possible et probable, compte tenu de ce que vous avez fait.

Mais avant, il serait sage de sauvegarder vos données et de vérifier que le boot est bien sur la partition recovery.

Apparemment le boot n'est pas sur la partition recovery mais est sur la partition c: mais celle de 2Mo est aussi "grisée" ( pour Gparted la notation "boot" est uniquement sur c;) ça posera un probleme pour booter ensuite ?

 

Même si je réussis à supprimer cette 3e partition, il restera 0.01GB en trop (et non de 1GB ...oups, voir plus haut)sur la partition recovery , le MBR sera-t-il completement desinfecté?

votre avis sera utile...merci encore.

[ninab]

rectif...

J'ai noté sur mon dernier post :

Sur mon PC la 3eme ligne est de 2.48 GB sans nom mais notée "hidden" et le "boot" est noté sur c:

 

Il s'agissait de 2.48 MiB et non GiB bien sûr ! soyons précis ...car en plus du virus si j'en rajoute !