Trojan.Win32.Genome.ebd tenace !!

[invitec3b99368]

Bonjour,

Mon antivirus Kaspersky détecte un cheval de Troie (Trojan.Win32.Genome.ebd) mais la réparation et la suppression sont impossibles et pour cause "les privilèges d'écriture manquent". Je ne sais pas trop à quoi tout cela rime et j'ai essayé différents anti-malwares pour m'en débarrasser mais sans succès...Je joins donc les 2 fichiers qui proviennent de RSIT. Merci beaucoup d'avance de bien vouloir m'aiguiller
-----

[invite42302d4e]

Bonsoir et bienvenue sur Futura-Sciences

Fais cela stp...

télécharge Malwarebytes' Anti-Malware
Installe-le et fais un scanne Complet, coche tout ce qu'il trouvera puis clique sur "Supprimer la sélection"
puis poste le rapport généré en fin de suppression.

Ensuite...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

NetSvcs
%systemroot%\system32\drivers\ *.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Poste les rapports dans ta réponse stp...
* Comment poster les rapports sur le forum
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[invitec3b99368]

Bonjour !

Merci d'avoir pris le temps de m'aider. Alors j'ai suivi les différentes étapes indiquées et vous joins donc les fichiers dont vous avez besoin.

Cordialement,

[invite42302d4e]

bonsoir,

Fais cela stp...

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:Files
C:\Program Files (x86)\Messenger_Plus_Live_Fran ce
C:\Users\Rudy\AppData\Roaming\ mozilla\Firefox\Profiles\3otly f34.default\extensions\support @predictad.com
C:\Users\Rudy\AppData\Roaming\ Mozilla\Firefox\Profiles\3otly f34.default\searchplugins\ask. uk.xml
C:\Program Files (x86)\AutocompletePro\64\Autoc ompletePro64.dll
C:\Program Files (x86)\AutocompletePro\Autocomp letePro.dll
C:\Program Files (x86)\ConduitEngine\prxConduit Engine.dll (Conduit Ltd.)
C:\Program Files (x86)\ConduitEngine
C:\Users\Rudy\AppData\Local\Co nduit
C:\Windows\SysWow64\lsprst7.tg z
C:\Windows\SysWow64\lsprst7.dl l
C:\Windows\SysWow64\ssprs.tgz
C:\Windows\SysWow64\ssprs.dll
C:\Windows\SurCode.INI
C:\Windows\SysWow64\vshp1018.d ll
C:\Windows\SysWow64\zshp1018.e xe

:OTL
IE - HKLM\..\URLSearchHook: {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files (x86)\Messenger_Plus_Live_Fran ce\prxtbMes2.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\SOFTWARE\Microsoft\Intern et Explorer\Main,Default_Search_U RL = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\SOFTWARE\Microsoft\Intern et Explorer\Main,Search Page = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\SOFTWARE\Microsoft\Intern et Explorer\Main,Start Default_Page_URL = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\SOFTWARE\Microsoft\Intern et Explorer\Main,Start Page = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\SOFTWARE\Microsoft\Intern et Explorer\Search,Default_Search _URL = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\SOFTWARE\Microsoft\Intern et Explorer\Search,Search Page = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\..\URLSearchHook: {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files (x86)\Messenger_Plus_Live_Fran ce\prxtbMes2.dll (Conduit Ltd.)
FF - prefs.js..keyword.URL: "http://search.autocompletepro.com?si= 10203&q="
[2011/01/29 17:46:44 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Users\Rudy\AppData\Roaming\ mozilla\Firefox\Profiles\3otly f34.default\extensions\support @predictad.com
[2010/08/20 12:33:14 | 000,001,681 | ---- | M] () -- C:\Users\Rudy\AppData\Roaming\ Mozilla\Firefox\Profiles\3otly f34.default\searchplugins\ask. uk.xml
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\64\Autoc ompletePro64.dll (SimplyGen)
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files (x86)\AutocompletePro\Autocomp letePro.dll (SimplyGen)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduit Engine.dll (Conduit Ltd.)
O2 - BHO: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files (x86)\Messenger_Plus_Live_Fran ce\prxtbMes2.dll (Conduit Ltd.) => Messenger Plus Live France Toolbar
O3 - HKLM\..\Toolbar: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files (x86)\Messenger_Plus_Live_Fran ce\prxtbMes2.dll (Conduit Ltd.) => Messenger Plus Live France Toolbar
O3 - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\..\Toolbar\WebBrowser: (Messenger Plus Live France Toolbar) - {59994074-C06D-4A75-9768-49E5A8C21264} - C:\Program Files (x86)\Messenger_Plus_Live_Fran ce\prxtbMes2.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-4138366957-3939750519-1372907646-1000\..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-19\..\RunOnce: [mctadmin] File not found
O4 - HKU\S-1-5-20\..\RunOnce: [mctadmin] File not found

:Commands
[emptytemp]
[EMPTYFLASH]

* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
* Copie et colle le rapports dans ta réponse stp...
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

@++

[A voir en vidéo sur Futura]

[invitec3b99368]

Rebonsoir,

Ci-joint le fichier que j'obtiens après avoir réalisé les opérations recommendées. Merci.

[invite42302d4e]

hello,

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

C:\Users\Rudy\AppData\Local\{1 B878BF3-EB1E-48A5-834D-E8D151738D8B}\*
C:\Users\Rudy\AppData\Local\{6 65B674E-EFDC-4718-B851-609FE60755B2}\*
C:\Users\Rudy\AppData\Local\{A 8D04C2A-E6DB-4D86-99B5-1FAA87AE8437}\*
C:\Users\Rudy\AppData\Local\{F 4B29666-C9D3-466B-AB7E-411F6C90E9FE}\*
C:\Users\Rudy\AppData\Local\{7 70127AC-0258-4AC7-8B77-EAF2C59E5FA6}\*
C:\Users\Rudy\AppData\Local\{3 BC864AE-82FC-41AF-A454-0545CC3D5FB7}\*
C:\Users\Rudy\AppData\Local\{E 52D2580-55F6-4348-8E76-B3470FA648AA}\*
C:\Users\Rudy\AppData\Local\{9 A06992C-4775-4711-9400-9FF8BE6B6846}\*
C:\Users\Rudy\AppData\Local\{A 515BD61-09EB-499D-9F5A-BFA2B6F993C9}\*
C:\Users\Rudy\AppData\Local\{D 99094C0-1122-47B9-B46E-6F17311CAAB1}\*
C:\Users\Rudy\AppData\Local\{6 2089127-90C4-40DB-82B2-50F9A6547C0A}\*
C:\Users\Rudy\AppData\Local\{3 3D15B19-C4D8-4D87-871B-B0E98835CD30}\*
C:\Users\Rudy\AppData\Local\{9 455B3B6-B3AF-44CD-BAB7-76A64F3DED7B}\*
C:\Users\Rudy\AppData\Local\{D E8E28CA-DF1A-42B6-94EE-3F179C25B83E}\*
C:\Users\Rudy\AppData\Local\{7 C544131-2CE6-4C14-9A96-36B5FED601FD}\*
C:\Users\Rudy\AppData\Local\{6 350B771-BAB9-43D6-8E14-B789DCFD1B9B}\*
C:\Users\Rudy\AppData\Local\{A 228016E-888F-421A-972A-8C82C19A0746}\*
C:\Users\Rudy\AppData\Local\{F 06775FD-576E-4B94-AA4B-32C74D3BD5CC}\*
C:\Users\Rudy\AppData\Local\{9 F96FBB1-BEDE-4E65-957C-E7BC61CBA4A5}\*
C:\Users\Rudy\AppData\Local\{5 484B14F-17D7-4185-8722-848425C6CF1E}\*
C:\Users\Rudy\AppData\Local\{B 669C00C-F0A7-4874-8FE0-3629A976FB87}\*

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Poste les rapports dans ta réponse stp...
* Comment poster les rapports sur le forum
* Au cas où, tu peux les retrouver dans le dossier C:\OTL
@++

[invitec3b99368]

Bonsoir,

Veuillez excuser ma réponse tardive, je n'ai pas accès au PC durant la semaine. Ci-joint le fichier que j'obtiens.

Cordialement,

[invite42302d4e]

hello,

encore un petit scanne stp...

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* * Copies et colles le contenue du fichier texte (rudy-scan) que je t'ai mis sur CIJOINT (lien en dessous) dans la partie inférieure d'OTL "Personnalisation"
http://www.cijoint.fr/cjlink.php?fil...cija9wumkc.txt

*Une fois que le texte apparait dans la fenêtre d'OTL...
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scanne un rapport va s'ouvrir "OTL.Txt"
* Poste le rapport dans ta réponse stp...
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

merci @++

[invitec3b99368]

Voilà le rapport

Merci.

[invite42302d4e]

hello,

il reste quelque crasses...

Télécharge >>> AD-Remover <<< ( de C_XX ) sur ton bureau.

- Double-clique sur le fichier AD-R.exe pour lancer le tool.

- Pour Vista /Seven faire un cliques droit sur l'icône et choisir "Exécuter en tant qu'administrateur"

- Cliques sur "Nettoyer".

- Ensuite laisse le scan s'effectuer tranquillement sans te servir du PC

- Poste le rapport.txt qui s'ouvre.

au cas ou,le rapport est sauvegarder ici
C:\AD-Report-scan+"date"

Si jamais tu dois relancer AD-R.exe tu devras te servir du raccourci créer durant son installation

@++

[invitec3b99368]

Voici donc

[invite42302d4e]

hello,

c'est pas mal tout ça ...

tu as toujours des alertes de Kaspersky ?

Comment se comporte le pc ??

[invitec3b99368]

Le PC fonctionne normalement, je pense que le virus était responsable de l'envoi de spams via ma boîte de messagerie. Mon compte MSN a été bloqué suite à ces envois intempestifs, et depuis sa réouverture il y a 3 semaines, plus de problèmes. En accédant au PC avec l'autre session, il a été possible de mettre le virus en quarantaine, mais il est toujours présent...lorsque j'analyse le fichier concerné avec Kaspersky, l'antivirus m'alerte bien de la présence du virus sans pouvoir le supprimer. Merci.

[invite42302d4e]

hello,

tu peux me donner le nom précis de ce fichier et l'endroit où il se trouve...

ou bien si tu as un rapport de scanne Kaspersky où apparait cette détection cela serait l'idéal

@++

[invitec3b99368]

Voilà le rapport de Kaspersky =)

[yoda1234]

Évidemment, si tu utilises des cracks et des keygens.
Merci de lire ceci http://forums.futura-sciences.com/se...-infectes.html
.

[invitec3b99368]

Evidemment, s'il y a des fichiers comportant le nom "Keygen", c'est que j'utilise des cracks et des keygens...C'est incontestable, voilà ce que j'appelle un raisonnement digne des plus grands détectives. Merci de bien vouloir garder pour soi ce genre de déductions.

[yoda1234]

Evidemment, s'il y a des fichiers comportant le nom "Keygen", c'est que j'utilise des cracks et des keygens...

Il te faut donc virer ces m..des avant contunuer la procédure.
Rappel de notre charte que tu as acceptée en t'inscrivant ici:

Pas de propos tombant sous le coup de la loi (piratage). Respectez les droits d'auteurs et de la propriété intellectuelle.

[invite42302d4e]

hello les jeunes...



Tu n'est plus infecté ( aucunes infection "active" ) , mais je te conseille fortement de virer ces cracks de ton PC.

Si tu veux le virer fais cela...

Désactive impérativement Kaspersky avant de faire la suite...

relance OTL et fais un copier/coller de code ci-dessous dans la fenêtre d'OTL

Code:

:Files
G:\Buena Software Au Naturel 1.1.1

:Commands
[emptytemp]

clique sur "correction" et lis le rapport qui s'ouvre pour voir le résultat...

Si la suppression c'est bien passée...
Relance ARD et choisis l'option "désinstaller"
Relance OTL et clique sur "Purge outils" pour le désinstaller.

Si la suppression a échouée, dis le moi...

voilà ce que j'appelle un raisonnement digne des plus grands détectives

Inutile d'être ironique, yoda1234 fait son boulot de modérateur, pour info l'analyse de tes rapports et la rédaction des scripts m'a pris plusieurs heures...pour un crack dont tu connaissais l’existence.
(encore heureux qu'il y ai eu des infections actives sur ton pc, sinon j’aurai vraiment eu l'impression de perdre mon temps )

@++

[invitec3b99368]

Visiblement, vous ne comprenez rien, la citation que vous avez relevée est à interpréter de manière ironique. La suite du commentaire le corrobore. De plus, mon objectif est ici de supprimer ce fichier. Vous me demandez de le supprimer...auquel cas je n'aurais plus besoin de votre aide. C'est le chien qui se mord la queue...Merci de votre compréhension.

[invitec3b99368]

Salut Jeanmimigab,

je n'ai vu votre post qu'après la publication du mien, il ne vous est pas adressé.

Merci beaucoup pour toutes ces infos. J'essaierai donc le week end prochain de faire ce que vous me préconisez. Quant au keygen je ne savais pas que cela aurait pu vous être utile.

Merci pour votre patience.

Cordialement,

[invitec3b99368]

Salut,

Bon, comme je m'y attendais, la suppression a échoué. Je vous joins le rapport d'OTL.

[invite42302d4e]

hello,

Folder move failed. G:\Buena Software Au Naturel 1.1.1 scheduled to be moved on reboot (trad:déplacement prévue redémarrage du pc ).

est-ce qu'après le reboot effectuer par OTL ce dossier "G:\Buena Software Au Naturel 1.1.1" est toujours sur ton PC ?

@++

[invitec3b99368]

Salut,

Même après le redémarrage du PC qui s'était fait automatiquement à la fin de l'opération effectuée par OTL, le dossier est toujours présent...

Merci.

[invite42302d4e]

lol, c'est un coriace le dossier

Fais cela stp...
Télécharge >> The Avenger <<< par Swandog46 sur votre Bureau.

Dézippe le dossier sur ton bureau, cela va créer un dossier "Avenger"

Ouvre le dossier "Avenger", fait un clic-droit sur l'icône de The Avenger et choisie exécuter en tant qu'administrateur".

une fois ouvert, copie le contenue de la citation ci-dessous et colle le dans la partie inférieure de Theavenger (en dessous de "Input Script here").

Code:

Folders to delete:
G:\Buena Software Au Naturel 1.1.1

/!\ décoche la case "scan for Rootkits" /!\

Clique sur "exécute" et si des invités de commande te demande de cliquer sur "YES" ou "NO", clique à chaque fois sur "YES".

Ton pc risque de redémarrer deux fois pendant l'exécution de "The avanger", c'est normal, laisse le scan allez jusqu'a son terme sans te servir du PC.

Ensuite poste le rapport qui s'ouvre sur ton bureau.

Au cas où, tu peux le retrouver ici >> C:\avenger.txt

@++

[invitec3b99368]

Alors,

J'ai suivi étape par étape mais lorsque j'ai cliqué sur "exécute" le PC s'est directement redémarré et puis rien...aucun rapport ni rien d'autre.

Je maudis ce dossier...

[invite42302d4e]

re,

et si tu redémarre en mode sans échec, est ce que tu peux supprimer manuellement ce qui se trouve à l'intérieur de ce dossier et ensuite le dossier lui même (une fois qu'il est vide)

Si cela ne va pas, on utilisera un tool plus puissant !

@++

[invitec3b99368]

J'avais déjà tenté cette démarche avant même de demander votre aide. Mais là encore, rien à faire...Je ne peux pas le supprimer car "J'ai besoin d'une autorisation de la part de Tout le monde pour modifier ce fichier"...

[invite42302d4e]

hello,

bon ont va tenter de passer en force...

Désactive temporairement ton Anti-virus

• Télécharge Combofix sur ton Bureau (et pas ailleurs)
• Clic-droit dessus et choisis "Exécuter en tant qu'administrateur" pour le lancer et suis les instructions.
• Patiente le temps du scanne( ça peut prendre facilement 30/45 minutes )

N'arrête surtout pas le scanne et ne te sert pas du PC durant le scanne

• A la fin du scanne, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
• redémarre impérativement ton PC

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@++

[invitec3b99368]

Re,

Ici s'ajoute un beau rapport en Mandarin...