Virus Alureon-dr [Résolu] • page 2

[drogoyef]

Merci et à demain

[Jypalou]

Bonjour,fait cette manip:
Télécharge OTM3 de Old_Timer sur ton Bureau .

Double-clique sur OTM3.exe pour le lancer.


Copie la liste qui se trouve en citation ci-dessous:

:Files
C:\Windows\System32\tdlwsp.dll

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]



Colle-la dans le cadre de gauche de OTMoveIt3


Clique sur pour lancer la Suppression

Le résultat apparaitra dans le cadre Results.


Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles\*******_******.log

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.

Si c'est le cas accepte par Yes.

puis pour controler ta clé et ton DD

Télécharge UsbFix de Chiquitine29 sur ton Bureau

Lance l'installation avec les paramètres par défaut.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) Sans les ouvrir.

Double-clique sur le raccourci UsbFix sur ton Bureau.

Choisis l'option Nettoyage .

Le PC va redémarrer.

Après redémarrage, poste le rapport UsbFix.txt

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. C:\

Aide en images
A+

[drogoyef]

Rebonjour
De quelle procédure s'agit-il ?
Merci

[Jypalou]

Bonjour en premier tu fait OTM3 pour supprimer Alureon-dr
et tu poste le rapport,et tu vérifie si il apparait encore
puis apres tu fait UsbFix pour ta clé
A+

[drogoyef]

Voici le rapport OTmovelt
All processes killed
========== FILES ==========
File/Folder C:\Windows\System32\tdlwsp.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: anita
->Temp folder emptied: 11125520 bytes
->Temporary Internet Files folder emptied: 55358511 bytes
->Java cache emptied: 57145945 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 10724 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 996748 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 320 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 118,90 mb


OTM by OldTimer - Version 3.1.1.0 log created on 11112009_161101

Files moved on Reboot...
File C:\Users\anita\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content(219).IE5\XRQASFFX\0;etm2=70;eid4=12;ecn4=1;etm4=18;eid5=11;ecn5=1;etm5=0;eid6=18292;ecn6=1;etm6=0;eid7=18291;ecn7=1;etm7=0;eid8=18;ecn8=1;etm8=0;eid9=18288;ecn9=1;etm9=0;[1].gif not found!
File C:\Users\anita\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content(219).IE5\XRQASFFX\78369;met=1;v=1;pid=31785794;aid=210079797;ko=0;cid=29656983;rid=29674862;rv=1;&timestamp=1230140831064;eid1=2;ecn1=0;etm1=10;eid2=18281;ecn2=0;etm2=10;[1].gif not found!
File C:\Users\anita\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content(219).IE5\XKF2BLAT\78369;met=1;v=1;pid=31785794;aid=210079797;ko=0;cid=29656983;rid=29674862;rv=1;&timestamp=1230140861070;eid1=2;ecn1=0;etm1=30;eid2=18281;ecn2=0;etm2=30;[1].gif not found!
File C:\Users\anita\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content(219).IE5\HE3Q01UF\5794;aid=210079797;ko=0;cid=29656983;rid=29674862;rv=1;&timestamp=1230140821054;eid1=2;ecn1=1;etm1=10;eid2=18281;ecn2=1;etm2=8;eid3=18283;ecn3=1;etm3=0;[1].gif not found!
File move failed. C:\Windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\CLML_AGENT_LOG1.txt scheduled to be moved on reboot.
File C:\Windows\temp\sqlite_OJYeW614hypNs7q not found!

Registry entries deleted on Reboot...

[drogoyef]

Rapport Usbfix

############################## | UsbFix V6.050 |

User : anita (Administrateurs) # PC-DE-ANITA
Update on 09/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:25:54 | 11/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Mobile AMD Sempron(tm) Processor 3600+
Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 081225-0] 4.8.1229 [ Enabled | Updated ]

C:\ -> Disque fixe local # 51,14 Go (11,01 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 50,89 Go (35,5 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 988 Mo (988 Mo free) # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 444
C:\Windows\system32\csrss.exe 520
C:\Windows\system32\wininit.exe 568
C:\Windows\system32\csrss.exe 576
C:\Windows\system32\services.exe 612
C:\Windows\system32\lsass.exe 628
C:\Windows\system32\lsm.exe 636
C:\Windows\system32\winlogon.exe 664
C:\Windows\system32\svchost.exe 832
C:\Windows\system32\nvvsvc.exe 904
C:\Windows\system32\svchost.exe 932
C:\Windows\System32\svchost.exe 968
C:\Windows\System32\svchost.exe 1056
C:\Windows\System32\svchost.exe 1132
C:\Windows\system32\svchost.exe 1164
C:\Windows\system32\AUDIODG.EXE 1236
C:\Windows\system32\SLsvc.exe 1268
C:\Windows\system32\rundll32.exe 1308
C:\Windows\system32\svchost.exe 1332
C:\Windows\system32\svchost.exe 1448
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe 1620
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1648
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1664
C:\Windows\system32\Dwm.exe 1968
C:\Windows\Explorer.EXE 2040
C:\Windows\System32\spoolsv.exe 1032
C:\Windows\system32\taskeng.exe 1424
C:\Windows\system32\svchost.exe 1460
C:\Windows\system32\taskeng.exe 1832
C:\Acer\ALaunch\ALaunchSvc.exe 528
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe 1380
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe 2080
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe 2124
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2208
C:\Acer\Empowering Technology\eNet\eNet Service.exe 2272
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 2428
C:\Acer\Mobility Center\MobilityService.exe 2484
C:\Windows\system32\svchost.exe 2572
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2660
C:\Windows\system32\svchost.exe 2724
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 2776
C:\Windows\System32\svchost.exe 2820
C:\Windows\system32\SearchIndexer.exe 2888
C:\Windows\system32\DRIVERS\xaudio.exe 2916
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe 2944
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 2956
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe 3012
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe 3064
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 3208
C:\Windows\system32\wbem\wmiprvse.exe 3404
C:\Windows\system32\wbem\wmiprvse.exe 3412
C:\Windows\system32\wbem\unsecapp.exe 3660
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3760
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3792
C:\Windows\System32\alg.exe 3852
C:\Program Files\Alwil Software\Avast4\ashDisp.exe 3704
C:\Windows\System32\rundll32.exe 116
C:\Windows\system32\wbem\unsecapp.exe 3948
C:\Program Files\Windows Media Player\wmpnscfg.exe 2388
C:\Program Files\Windows Media Player\wmpnetwk.exe 2344
C:\Program Files\Internet Explorer\ieuser.exe 192
C:\Program Files\Internet Explorer\iexplore.exe 2416
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe 3344
C:\Program Files\Windows Live\Toolbar\wltuser.exe 1392
C:\Windows\servicing\TrustedInstaller.exe 5168
C:\Windows\system32\conime.exe 5396
C:\Windows\system32\DrvInst.exe 5704
C:\Windows\system32\WUDFHost.exe 5904
C:\Windows\System32\mobsync.exe 5604

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{c0b4a95b-6646-11dd-9c2d-806e6f6e6963}
shell\AutoRun\command =F:\setupSNK.exe

HKCU\..\..\Explorer\MountPoints2\{ea941774-3239-11de-9809-001b38dd06ce}
shell\AutoRun\command =F:\InstallTomTomHOME.exe

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.050 ! |

[Jypalou]

Ok,pas d'infection avec ta clé,est ce que tu as encore des alertes avec Avast?
A+

[drogoyef]

Nouvelle alarme d'AVAST (toutes les heures environ) mais cette fois-ci le "virus" a changé de nom, il se nomme maintenant Alureon-EC (Rtk) toujours dans système32\tflwsp.dll.
A+

[Jypalou]

Est ce que ton Avast est a jour,vérifie,car d'apres l'analyse de OTM3, tu as la version vps VPS 081225-0 et on est a la version VPS 091111-1
A+

[Jypalou]

Bon apres fait ceci:
Télécharge Random's System Information Tool(RSIT) Par (random/random)

Sauvegarde-le sur le Bureau
Double-clique sur RSIT.exe qui se trouve sur ton bureau afin de lancer le programme.

Clique Continue à l'écran Disclaimer

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt qui est affiché

Et celui info.txt qui se trouve réduit dans la Barre des Tâches.

NB: Les rapports ce trouvent à cet endroit:

C:\rsit\info.txt

C:\rsit\log.txt
A+

[drogoyef]

Mise à jour effectuée à la Version que tu as indiquée.
Je vais attendre et voir.
Au fait j'ai eu une alarme AVAST vers 23 heures soit 4 heures après la précédente. Il y aurait du mieux ?
A+

[drogoyef]

J'essaierai RANDOM dès demain matin; encore merci

[Jypalou]

Bonjour,ok pour RANDOM ,mais je pense que tu devrais aussi changer d'antivirus,car Avast n'est plus au top,tu peut essayer Antivir qui est plus efficace et moins gourmand en ressource.
A+

[drogoyef]

Bonjour
J'ai installé ANTIVIR et j'ai l'impression que ça marche. Plus d'alarme depuis ce matin. Je pense comme toi qu'AVAST n'était plus très fiable. Encore tous mes remerciements pour ta disponibilité.

[Jypalou]

Ok si tu n'as plus de probleme,attends quand meme un jour ou deux,tu desinstalle les logs de désinfection avec ce log:
Fermes toutes les applications en cours.
Télécharge ToolsCleaner De A.Rothstein et dj QUIOU Sur ton Bureau .

Pour Vista Il faut faire un clic droit sur ToolsCleaner ,

Puis Exécuter en tant que Administrateur

Aide en Image

Doubleclique dessus pour lancer le programme.

Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail.

Poste le rapport qui apparait.

Attends mon feu vert pour cliquer sur Suppression
A+