Trojan.Win32.Genome.ebd tenace !!

[invite42302d4e]

Salut,

Combofix a virer encore deux rootkits, il en reste un qui est actif !

Fait cela stp...

> crées un nouveau document texte sur ton bureau
> pour cela clic-droit sur le bureau > Nouveau > document texte > copies et colles le contenu de la citation ci-dessous à l'intérieur

Prends soin de bien tout sélectionner

Code:

KillAll::

Driver::
okcfih
     
File::
c:\windows\system32\drivers\bstuapx.sys
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job     
c:\program files (x86)\Google\Update\GoogleUpdate.exe  
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job    
   
Firefox::
FF - ProfilePath - c:\users\Rudy\AppData\Roaming\Mozilla\Firefox\Profiles\3otlyf34.default\      
FF - prefs.js: browser.search.selectedEngine - ACPro      
FF - prefs.js: keyword.URL - hxxp://search.autocompletepro.com?si=10203&q=    

 
Folder::
G:\Buena Software Au Naturel 1.1.1

DirLook::
c:\users\Rudy\AppData\Local\{A47A81EC-F2C5-4096-BF91-16D70B943029}      
c:\users\Rudy\AppData\Local\{ED0C0028-1188-4F8B-9A20-AE0F6A946676}   
c:\users\Rudy\AppData\Local\{CCE1B8B3-00BA-4249-8211-9809CE24BE9C}      
c:\users\Caro\AppData\Local\{6B2C1982-BA43-4893-8F6F-CD0ADAF36E10}      
c:\users\Rudy\AppData\Local\{940B2447-EABD-420F-8880-E4FF9B5591BA}      
c:\users\Rudy\AppData\Local\{4F0043B4-B8E7-4C21-95DE-67597C5BC49E}      
c:\users\Caro\AppData\Local\{54D20369-50D1-4C79-AA8A-EA6964C7557B}      
c:\users\Rudy\AppData\Local\{393727F9-FF23-423F-B762-96C796F8146B}  
c:\users\Rudy\AppData\Local\{6326AC41-E58C-499E-936A-F5DB82577B7D}      
c:\users\Rudy\AppData\Local\{B1D34E25-C71F-4684-B8C1-B3B718E9934C}  
c:\users\Caro\AppData\Local\{77F8FE6C-27E5-4B75-86D4-9F47A6DB1E0F}      
c:\users\Rudy\AppData\Local\{7A8F5C21-9FF0-452D-A3B4-3866B6EB8B9E}      
c:\users\Rudy\AppData\Local\{D134A592-133A-4EAB-ACCE-38DC15B281D8}      
c:\users\Rudy\AppData\Local\{1B878BF3-EB1E-48A5-834D-E8D151738D8B}      
c:\users\Rudy\AppData\Local\{665B674E-EFDC-4718-B851-609FE60755B2}      
c:\users\Caro\AppData\Local\{F938EA8D-7359-461B-9A55-1F7A353772C4}      
c:\users\Caro\AppData\Local\{C08C2523-A91B-477C-99C3-F6D7B77621EB}
c:\users\Rudy\AppData\Local\{A8D04C2A-E6DB-4D86-99B5-1FAA87AE8437}      
c:\users\Rudy\AppData\Local\{F4B29666-C9D3-466B-AB7E-411F6C90E9FE}      
c:\users\Rudy\AppData\Local\{770127AC-0258-4AC7-8B77-EAF2C59E5FA6}      
c:\users\Caro\AppData\Local\{1EFBA1B9-8B3C-4D5E-9821-2BFA4FE777AF}      
c:\users\Rudy\AppData\Local\{3BC864AE-82FC-41AF-A454-0545CC3D5FB7}      
c:\users\Rudy\AppData\Local\{E52D2580-55F6-4348-8E76-B3470FA648AA}      
c:\users\Rudy\AppData\Local\{9A06992C-4775-4711-9400-9FF8BE6B6846}      
c:\users\Rudy\AppData\Local\{A515BD61-09EB-499D-9F5A-BFA2B6F993C9}      
c:\users\Rudy\AppData\Local\{D99094C0-1122-47B9-B46E-6F17311CAAB1}      
c:\users\Rudy\AppData\Local\{62089127-90C4-40DB-82B2-50F9A6547C0A}      
c:\users\Rudy\AppData\Local\{33D15B19-C4D8-4D87-871B-B0E98835CD30}

Respectes à la lettre la procédure d'enregistrement suivante,c'est très important

> ensuite cliques sur "fichier" > "enregistrer sous..."
> dans la fenêtre d'enregistrement choisis le bureau comme destination > dans type choisis "tous les fichiers" > et dans nom du fichier tape CFScript.txt > ensuite cliques sur enregistrer et fermes le document texte.

> fais un glisser/déposer(clic-gauche enfoncé sur CFScrit.txt et tu fais glisser) de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur cette capture.



> une fenêtre bleue va apparaître >>suis les instructions
> patientes le temps du scanne. Le bureau va disparaître à plusieurs reprises,c'est normal!
> ne touches à rien tant que le scanne n'est pas terminé
> une fois le scanne achevé, un rapport va s'afficher,postes son contenu dans ta prochaine réponse.
> si le rapport ne s'ouvre pas, il se trouve à cet emplacement C:\ComboFix.txt

Le rapport risque d'être très long, si il ne peut pas être uploader sur le forum, utilise ci-joint.fr et donne moi le lien de partage
http://www.cijoint.fr/
-----

[invitec3b99368]

Salut,

Un charabia de plus...J'admire votre patience...

Bye

[invite42302d4e]

Whow, il est toujours là, je commence à me poser des questions..

essais cela,

Lance Malwarebytes, clique sur l'onglet "autres outils".
Dans "FileASSASSIN" cliques sur "lancer l’outil" et sélectionne ce fichier en rouge et suis les instructions de malwarebytes...

g:\buena software au naturel 1.1.1\Buena Software Au Naturel 1.1.1.rar
dis moi comment ça c'est passé !

@++

[invitec3b99368]

Re,

Alors là je ne comprends pas, Malwarebytes indique "Réussite de la suppression du fichier"...mais il est toujours là !!

[invite42302d4e]

hello,

on va appeler un vaudou si ça continu

essais un petit truc (possible que les droits du fichier ai étés modifié )

Télécharge et installe MyRights ( de jeanmimigab ) sur ton bureau.
IMPORTANT: Fais un clic-droit sur le fichier et choisis "exécuter en tant qu'administrateur" pour le lancer.
Fais le choix N°1 "installer MyRights" et appuyer sur une touche pour quitter le Setup.
Fais un clic-droit sur le fichier "g:\buena software au naturel 1.1.1\Buena Software Au Naturel 1.1.1.rar" et choisis "envoyer vers" >> "MyRights"
Un rapport va apparaitre, poste le...

Ensuite essais de supprimer manuellement le fichier "g:\buena software au naturel 1.1.1\Buena Software Au Naturel 1.1.1.rar"

on croise les doigts

[invitec3b99368]

Salut,

Ce rapport ne te sera pas d'une grande aide. La suppression est impossible, lorsque je fais un clique droit, l'option "supprimer" n'apparaît même pas, et le glissement vers la corbeille est impossible aussi.

Quelle galère....

[invite42302d4e]

hello,

à tout hasard, il est fort possible que ce soit ton anti-virus qui bloque ce fichier, désactive ton AV et ré-essaie la suppression, tu devrais réussir si c'est bien l'AV qui bloque.
Pour MyRights, tu as copier/coller le chemin du fichier, mais tu as laissés les "" c'est cela qui a empêché MyRignts de fonctionner.
tu dois mettre sans les "" comme cela
g:\buena software au naturel 1.1.1\Buena Software Au Naturel 1.1.1.rar

[invitec3b99368]

Salut,

Le fait de désactiver l'antivirus ou pas ne change rien.
Pour MyRights, je n'ai rien copié, j'ai fait ce que tu m'as dit (clique droit sur le fichier, envoyer vers MyRights). Je vois bien les guillemets dans le rapport mais je n'y peux rien.

[invite42302d4e]

bouhh, c'est la première fois que je vois ça moi

essais cela, et si ça ne passe pas, faudra claquer un live CD pour faire la suppression avec un Windows à l'arrêt.

Fais cela stp...

> crées un nouveau document texte sur ton bureau
> pour cela clic-droit sur le bureau > Nouveau > document texte > copies et colles le contenu de la citation ci-dessous à l'intérieur

Prends soin de bien tout sélectionner

Code:

KillAll::

File::
g:\buena software au naturel 1.1.1\Buena Software Au Naturel 1.1.1.rar

Folder::
G:\Buena Software Au Naturel 1.1.1

Respectes à la lettre la procédure d'enregistrement suivante,c'est très important

> ensuite cliques sur "fichier" > "enregistrer sous..."
> dans la fenêtre d'enregistrement choisis le bureau comme destination > dans type choisis "tous les fichiers" > et dans nom du fichier tape CFScript.txt > ensuite cliques sur enregistrer et fermes le document texte.

> fais un glisser/déposer(clic-gauche enfoncé sur CFScrit.txt et tu fais glisser) de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur cette capture.



> une fenêtre bleue va apparaître >>suis les instructions
> patientes le temps du scanne. Le bureau va disparaître à plusieurs reprises,c'est normal!
> ne touches à rien tant que le scanne n'est pas terminé
> une fois le scanne achevé, un rapport va s'afficher,postes son contenu dans ta prochaine réponse.
> si le rapport ne s'ouvre pas, il se trouve à cet emplacement C:\ComboFix.txt

[invitec3b99368]

Re,

Bon ben, j'ai pas trop compris votre histoire de CD et Windows à l'arrêt...mais je crois qu'il va falloir passer par là...

[invite42302d4e]

Salut,

effectivement tu vas y avoir le droit...

Le principe du live CD est d’accéder au DD sous DOS avec un CD contenant un système d'exploitation.
Ton Windows étant alors "à l'arrêt" on pourra accéder à tout les fichiers contenu dessus (c'est un peu comme si tu démontais ton DD pour le brancher sur un autre PC afin de l'explorer.
Le CD Reatogo que nous allons créer pour cela te servira à l'avenir si par exemple tu dois récupérer des fichiers sur un pc dont Windows est planté.

Insère un CD (ou un DVD) vierge dans ton graveur...si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.

• Télécharge OTLPENet.iso sur ton bureau.
• Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.
• Fais un double-clic sur l'icône d'OTLPENet.iso et suis les instructions pour graver le CD/DVD automatiquement

Note : Le CD gravé, vous devez maintenant redémarrer votre machine sur le lecteur CDROM

Si ton pc ne boot pas automatiquement sur le CD, je t'invite sur ce lien : http://forum.malekal.com/booter-sur-dvd-t9447.html
= Le setup se charge en RAM

= Une fois le CD lancé Windows se charge (comptez 15 à 20 minutes) vous arrivez sur le bureau REATOGO-X-PE

Une fois que toutes les icônes sont lancées, patiente deux minutes afin d'être sûr que tout le système soit bien chargé.

Ensuite clique sur l'icône du poste de travail (My computer) et explorer ton disque G:\ afin de trouver et supprimer le fichier.rar et ensuite sont dossier

si là ça ne passe pas, reste plus que le lance flamme

[invitec3b99368]

Salut,

Bon, plusieurs choses, et je pense me faire taper sur les doigts...

J'ai fait ce que vous m'avez demandé, seul problème le disque G:/ n'apparaissait plus...mais en fait G:/ n'est pas un DD mais un genre de lecteur DVD virtuel. Je ne pensais pas que ce détail était si important.

D'autre part, j'ai fait un clique droit sur ce lecteur et dans l'onglet MagicISO, j'ai cliqué sur "Unmount all drivers".

Par conséquent, il ne m'est plus possible d'accéder aux fichiers mais en faisant une recherche via un mot clé (en bas dans démarrer) j'ai quand même retrouvé le fichier (naturel 1.1 un truc du genre) mais là j'ai tout simplement pu le supprimer avec un clique droit.

J'avoue ne pas trop m'y connaître et je ne sais même pas ce que sont ces fichiers, je vais refaire un scan complet avec mon antivirus pour m'assurer qu'aucune infection demeure.

Merci.

[invite42302d4e]

hello,

effectivement, si on essais de supprimer un fichier qui n'existe plus on risque d'avoir du mal

lance OTL et clique sur "purge outils" pour désinstaller les outils utilisés.

supprime tout autres traces d'outils non supprimés pas OTL (rapport ect...)

@++

[invitec3b99368]

Re,

Non mais je viens juste de le supprimer, on n'essayait pas de supprimer un fichier qui n'existait plus...pas à ce point là.

J'ai tout nettoyé et l'antivirus reste sans alerte...donc problème résolu je dirais.

Merci beaucoup pour vote patience, votre savoir faire, et votre courtoisie.

A+