[Trojan:Win32/Alureon.gen!U] Infection Atapi (fermé !)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

[Trojan:Win32/Alureon.gen!U] Infection Atapi (fermé !)

Message par Chewie »

Bonjour,

j'ai depuis deux jours l'alerte de Windows Defender suivante : première capture.
(le résultat de l'action se trouve dans cette seconde capture d'écran : c'est un échec)

Suite à cela, plusieurs scans Antivir ont, soit planté (voire planté le PC, 100% d'utilisation RAM et freeze), soit rien trouvé. Antivir est mis à jour.
Hier soir, je cherche sur ce forum, installe MalwareByte's AntiMalware et CCleaner, que je fais tourner en mode sans échec. Rien trouvé. En revanche, en mode normal, MBAM tourne en rond dans un dossier qui est sur mon bureau et finit par planter lamentablement.

J'ai remarqué que l'alerte Windows Defender apparaît en cours de ou suite à l'utilisation de CDBurnerXP, installé récemment à la place d'InfraRecorder.

Je crois avoir dit tout ce que je sais. Ai-je récupéré ce virus suite à une imprudence de ma part, ou bien était-il sur le DVD que j'ai inséré avant-hier soir, réputé vide et intouché depuis un an par son propriétaire ? Je l'ai effacé physiquement, je n'ai donc plus accès à son contenu. En tous cas, depuis, alerte sur alerte.

Merci beaucoup de votre aide !
Dernière modification par Chewie le 19 oct. 2009 00:06, modifié 3 fois.

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Malekal_morte »

Salut,

atapi atapiiii


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

Merci !
Je tâche de faire ça d'ici la fin du week-end, après une petite sauvegarde préalable !

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

Ca n'aura pas été long...
La réponse est la suivante, au lancement de ComboFix, et ceci que je change le nom du fichier ou non :
Windows ne trouve pas 'NircmdB.exe'. Vérifiez que vous avez entré le nom correct, puis réessayez.
Comme je n'ai rien entré du tout, je suis coincé...
Peut-être avez-vous une piste à suivre ? Un grand merci d'avance !

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Malekal_morte »

T'as bien désactivé l'antivirus ? c'est pas lui qui l'a bouffé ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

J'ai bien désactivé Antivir. Pas moyen de tuer le processus, j'aurai essayé, mais désactivé, ça oui.
Non, le plus intéressant, c'est que j'ai recherché ce fameux fichier NirCmd.exe... et je l'ai trouvé dans le dossier au nom aléatoire généré par ComboFix. Sauf que tous les exécutables dans ce dossier ont une extension .cfxxe au lieu d'une extension .exe !
C'est normal ?
(Pour info, j'ai téléchargé ComboFix en l'appelant VirusDelendoEst.exe <edit>ce qui est d'ailleurs une faute bête : il eût fallu le nommer, pour que ce soit juste : VirusDelendumEst.exe ! </edit>...)

Merci de ton aide !

<edit>Me relisant, précision : voici l'impression d'écran de mon dossier. </edit>
Dernière modification par Chewie le 17 oct. 2009 11:49, modifié 1 fois.

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Malekal_morte »

- Télécharge HiJackThis de Merijnsur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -


ET :

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

ET :

Scanne C:\Windows\System32\drivers\atapi.sys sur VirusTotal : virustotal-comment-scanner-un-fichier-t9828.html#p74260
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

Bonjour et merci ! :)

Voici donc :
- rapport HiJackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:34:33, on 17/10/2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [EPSON SX210 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\Users\Vianney\AppData\Local\Temp\E_S5E36.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 5027 bytes
- rapport Gmer :
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-17 11:28:50
Windows 6.1.7100
Running: 1k6es5vn.exe; Driver: C:\Users\Vianney\AppData\Local\Temp\kwaiquod.sys


---- System - GMER 1.0.15 ----

SSDT 8EA29654 ZwCreateThread
SSDT 8EA29640 ZwOpenProcess
SSDT 8EA29645 ZwOpenThread
SSDT 8EA2964F ZwTerminateProcess

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A39AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A39104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A393F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A222D8
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A21898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A391DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A39958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A396F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A39F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A3A1A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13B1 82A8E549 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82AAE6B2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!ExQueueWorkItem + 2D4 82AB6A58 4 Bytes [54, 96, A2, 8E]
.text ntkrnlpa.exe!ExQueueWorkItem + 470 82AB6BF4 4 Bytes [40, 96, A2, 8E]
.text ntkrnlpa.exe!ExQueueWorkItem + 490 82AB6C14 4 Bytes [45, 96, A2, 8E]
.text ntkrnlpa.exe!ExQueueWorkItem + 740 82AB6EC4 4 Bytes [4F, 96, A2, 8E]
? System32\Drivers\spmu.sys Le chemin d’accès spécifié est introuvable. !
.text USBPORT.SYS!DllUnload 9067CC85 5 Bytes JMP 85E091D8
.text peauth.sys 98C36C9D 28 Bytes [55, 05, 64, D6, EC, CD, 3F, ...]
.text peauth.sys 98C36CC1 28 Bytes [55, 05, 64, D6, EC, CD, 3F, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 4F90 A5243000 221 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 506E A52430DE 445 Bytes [A5, 75, 06, 09, 0D, 28, E5, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 522C A524329C 74 Bytes [01, 00, 51, 51, 8B, CC, 6A, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 5681 A52436F1 71 Bytes [6A, 0C, 68, 58, D4, 23, A5, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 56C9 A5243739 74 Bytes [00, 33, C9, 84, C0, 0F, 94, ...]
PAGE ...

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\system32\rundll32.exe[1268] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\system32\rundll32.exe[1268] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\system32\rundll32.exe[1268] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\system32\rundll32.exe[1268] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2244] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2244] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2244] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT C:\Windows\System32\rundll32.exe[2244] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [755A4A2D] C:\Windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84C741F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Runtime de l’infrastructure de pilotes en mode noyau/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Runtime de l’infrastructure de pilotes en mode noyau/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 84C6F1F8
Device \Driver\usbuhci \Device\USBPDO-0 85E0F1F8
Device \Driver\usbuhci \Device\USBPDO-1 85E0F1F8
Device \Driver\usbuhci \Device\USBPDO-2 85E0F1F8
Device \Driver\usbuhci \Device\USBPDO-3 85E0F1F8
Device \Driver\ACPI_HAL \Device\00000047 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
Device \Driver\usbehci \Device\USBPDO-4 85D52500
Device \Driver\volmgr \Device\HarddiskVolume1 84C6F1F8

AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\volmgr \Device\HarddiskVolume2 84C6F1F8

AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\cdrom \Device\CdRom0 85C8F1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 84C711F8
Device \Driver\atapi \Device\Ide\IdePort0 84C711F8
Device \Driver\atapi \Device\Ide\IdePort1 84C711F8
Device \Driver\atapi \Device\Ide\IdePort2 84C711F8
Device \Driver\msahci \Device\Ide\PciIde1Channel0 84C721F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-2 84C711F8
Device \Driver\msahci \Device\Ide\PciIde1Channel2 84C721F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 85D281F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{1694D15E-56D8-4236-A8A6-832E33F4411D} 85D281F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{3DCD9913-FB62-45A0-AE25-1B32AA261DEC} 85D281F8
Device \Driver\PCI_PNP4133 \Device\0000005c spmu.sys
Device \Driver\usbuhci \Device\USBFDO-0 85E0F1F8
Device \Driver\usbuhci \Device\USBFDO-1 85E0F1F8
Device \Driver\usbuhci \Device\USBFDO-2 85E0F1F8
Device \Driver\usbuhci \Device\USBFDO-3 85E0F1F8
Device \Driver\usbehci \Device\USBFDO-4 85D52500
Device \Driver\ayixolzl \Device\Scsi\ayixolzl1 85EFD1F8
Device \Driver\sptd \Device\353460135 spmu.sys

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x28 0xA6 0x7A 0x70 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x45 0x55 0x62 0xA7 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x1A 0x50 0xB3 0xBB ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xD9 0x96 0xBB 0xA4 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xD9 0x96 0xBB 0xA4 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0xD9 0x96 0xBB 0xA4 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x28 0xA6 0x7A 0x70 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x45 0x55 0x62 0xA7 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x1A 0x50 0xB3 0xBB ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xD9 0x96 0xBB 0xA4 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12 0xD9 0x96 0xBB 0xA4 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3@hdf12 0xD9 0x96 0xBB 0xA4 ...

---- EOF - GMER 1.0.15 ----
- rapport VirusTotal pour atapi.sys :
a-squared 4.5.0.41 2009.10.17 Rootkit.Win32.TDSS!IK
AhnLab-V3 5.0.0.2 2009.10.16 -
AntiVir 7.9.1.35 2009.10.16 -
Antiy-AVL 2.0.3.7 2009.10.16 -
Authentium 5.1.2.4 2009.10.17 -
Avast 4.8.1351.0 2009.10.17 Win32:Patched-LF
AVG 8.5.0.420 2009.10.16 Rootkit-Pakes.U
BitDefender 7.2 2009.10.17 -
CAT-QuickHeal 10.00 2009.10.16 -
ClamAV 0.94.1 2009.10.17 -
Comodo 2630 2009.10.17 -
DrWeb 5.0.0.12182 2009.10.17 BackDoor.Tdss.565
eSafe 7.0.17.0 2009.10.15 -
eTrust-Vet 35.1.7072 2009.10.16 -
F-Prot 4.5.1.85 2009.10.16 -
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.16 -
GData 19 2009.10.17 Win32:Patched-LF
Ikarus T3.1.1.72.0 2009.10.17 Rootkit.Win32.TDSS
Jiangmin 11.0.800 2009.10.17 -
K7AntiVirus 7.10.872 2009.10.16 -
Kaspersky 7.0.0.125 2009.10.17 Rootkit.Win32.TDSS.u
McAfee 5773 2009.10.16 -
McAfee+Artemis 5773 2009.10.16 -
McAfee-GW-Edition 6.8.5 2009.10.17 -
Microsoft 1.5101 2009.10.17 -
NOD32 4516 2009.10.17 Win32/Olmarik.OF
Norman 6.03.02 2009.10.16 -
nProtect 2009.1.8.0 2009.10.17 Trojan/W32.Rootkit.21584
Panda 10.0.2.2 2009.10.16 -
PCTools 4.4.2.0 2009.10.16 -
Prevx 3.0 2009.10.17 -
Rising 21.51.44.00 2009.10.16 -
Sophos 4.46.0 2009.10.17 -
Sunbelt 3.2.1858.2 2009.10.17 -
Symantec 1.4.4.12 2009.10.17 -
TheHacker 6.5.0.2.044 2009.10.17 -
TrendMicro 8.950.0.1094 2009.10.17 -
VBA32 3.12.10.11 2009.10.16 -
ViRobot 2009.10.17.1990 2009.10.17 -
VirusBuster 4.6.5.0 2009.10.16 -
Voilà qui me paraît tout à fait mignon... non ? ^^

Trois questions subsidiaires :
- sécurité : je suis connecté par une FreeBox qui ne m'appartient pas (je suis, disons, chez un ami)... je risque de contaminer d'autres ordinateurs connectés à la même ?
- pratique : tu me dis systématiquement de tout sauvegarder sur mon bureau et exécuter à partir de celui-ci... il y a une raison particulière, où je peux le faire ailleurs ?
- pratique encore : il faut systématiquement tout copier-coller ici, ou je peux envoyer, comme je le fais parfois, par URL interposée ? Question de lisibilité du post...

Merci encore de ton aide, passée et à venir !

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Malekal_morte »

Chewie a écrit :Voilà qui me paraît tout à fait mignon... non ? ^^
Ben oui ton truc ça pue.
- sécurité : je suis connecté par une FreeBox qui ne m'appartient pas (je suis, disons, chez un ami)... je risque de contaminer d'autres ordinateurs connectés à la même ?
Non faut des vers ou des rbots/sdbots et pour le moment tu n'en as pas.
Par contre, peut-être que cette infection va par médias amovibles (mais j'en doute) :
- pratique : tu me dis systématiquement de tout sauvegarder sur mon bureau et exécuter à partir de celui-ci... il y a une raison particulière, où je peux le faire ailleurs ?
Parce que avec ton truc on est pas à l'abri d'un plantage de Windows.
- pratique encore : il faut systématiquement tout copier-coller ici, ou je peux envoyer, comme je le fais parfois, par URL interposée ? Question de lisibilité du post...
Comme tu prefs.
Pour info tu peux attacher des fichiers (images, rapports) à partir du bouton "transférer pièce jointe".
Platform: Unknown Windows (WinNT 6.01.3004)
Windows Pirate ?

Si XP, tente WinReplace : winfilereplace-restauration-fichiers-sy ... 19657.html
Poste les rapports ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

Windows Seven RC. Je ne crois pas avoir de logiciels piratés sur mon PC.
Au point où j'en suis, est-ce qu'un formatage pur et simple de la partition système, suivi d'une réinstallation propre, réglerait le problème ?
Ou carrément un formatage total, puis réinstallation de Windows avec Antivir mis à jour, nettoyage de mon DD de sauvegarde au cas où ?

Ou alors as-tu une solution moins lourde ? Je ne veux pas te prendre un temps fou pour de faibles chances de réussite, et j'avoue que je n'en ai pas beaucoup non plus. Si format/réinstall' dure probablement moins de temps qu'une éventuelle poursuite, je préfère autant. Si tu as une solution miracle, en revanche, je suis preneur.

Merci pour le temps pris et pour tes conseils !

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Malekal_morte »

Chewie a écrit :Windows Seven RC. Je ne crois pas avoir de logiciels piratés sur mon PC.
Au point où j'en suis, est-ce qu'un formatage pur et simple de la partition système, suivi d'une réinstallation propre, réglerait le problème ?
ha OK c'est Seven.
Je suis pas certains que WinReplace fonctionne.
Ou alors as-tu une solution moins lourde ? Je ne veux pas te prendre un temps fou pour de faibles chances de réussite, et j'avoue que je n'en ai pas beaucoup non plus. Si format/réinstall' dure probablement moins de temps qu'une éventuelle poursuite, je préfère autant. Si tu as une solution miracle, en revanche, je suis preneur.
Ton fichier atapi.sys a été patché par l'infection (ce n'est peut-être pas le seul, je connais pas très bien cette variante de TDSS).
Tu peux tenter de restaurer le fichier atapi.sys comme expliqué dans ce post : restauration-fichiers-systemes-t18433.html
Si tu as des questions, je peux t'aider.

Mais si tu trouves que c'est trop compliqué/prise de tête, oui tu peux formater et mettre Antivir et faire plus attention à l'avenir!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

J'ai laissé tomber et tout réinstallé. En une heure... ça change de Vista :)
Normalement, tout devrait aller bien maintenant, je suis en train de scanner tout pour vérifier.

Un grand merci pour ta patience et tes conseils, et j'espère ne pas te réembêter dans deux jours ;)

PS : pour faire un don, il n'y a que PayPal et le chèque ? Oui, j'en aurais eu pour 40-50 € en m'adressant à n'importe qui, alors je ne peux pas donner autant, mais j'aimerais participer tout de même.

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Malekal_morte »

Chewie a écrit :PS : pour faire un don, il n'y a que PayPal et le chèque ? Oui, j'en aurais eu pour 40-50 € en m'adressant à n'importe qui, alors je ne peux pas donner autant, mais j'aimerais participer tout de même.
Ouaip mais bon, j'ai rien fait, t'as tout réinstallé. C'était juste du blabla.
Laisse tomber pour le don.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Chewie
newbie
newbie
Messages : 17
Inscription : 16 oct. 2009 11:35

Re: [Trojan:Win32/Alureon.gen!U] Win Defender / CDBurnerXP ?

Message par Chewie »

Si, tu as fait quelque chose : tu as passé du temps sur mes logs, à m'écrire (même si c'est en grande partie du cop'coll' de procédures habituelles). Et je crois que tu sais que ça fait du bien à celui qui se découvre une merde d'avoir quelqu'un "qui sait" qui le lit et l'aide à résoudre ses problèmes.
Je suis un ancien informaticien, reconverti dans le traitement d'autres types de virus, mais je sais ce que c'est que de passer des heures à traiter des problèmes sur les bécanes des autres, problèmes qu'ils n'auraient pas eus s'ils avaient su s'en servir correctement.
J'ai beaucoup appris en deux jours, grâce à toi. Un grand merci.

PS : pour le don, je verrai ;)

Malekal_morte
Site Admin
Site Admin
Messages : 99382
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Trojan:Win32/Alureon.gen!U] Infection Atapi (fermé)

Message par Malekal_morte »

oki merci. C'est gentil comme message.

Bonne fin de WE! PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »