Trojan.Win32.Generic!BT

Joel -  
 Joel -
Bonjour,

Tout d'abord laissez-moi vous dire que je ne suis pas extra en ce qui touche les ordinateurs et les trojan etc.

Depuis quelques temps, mon firefox me redirige vers des sites aléatoire de pubs etc, j'ai des ad et des pop-ups inahabituels.
J'ai donc downloader Ad-aware pour faire un scan.
Les résultats me disent que mon ordinateur est infecté par "Trojan.Win32.Generic!BT" sous la trace c:\windows\System32\omsad.dll
**Auparavant, la trace était plutôt C:\Windows\assembly\GAC_32\Desktop.ini, mais j'ignore pourquoi elle a changé.

J'ai essayé de rectifier le problème avec ad-aware lui-même(quarantaine+suppression), mais aussitôt que je repasse un scan, le trojan est encore et toujours présent.

Bref, je n'arrive pas du tout à me débarasser de ce problème et c'est pourquoi je vous demande de l'aide, s'il-vous-plaît.

Merci d'avance et bonne journée

9 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    C'est la dernière variante de Sirefef

    == == == == == == == == == == == == == == == == == == == == == ==

    Sauvegarde tes documents les plus importants.

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Télécharge ComboFix de sUBs.
    TRÈS IMPORTANT! : Enregistre ComboFix.exe sur le Bureau.

    IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
    Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire.
    En cas de difficultés se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.
    ● Accepte d'installer la console de récupération (sous XP)
    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

    Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    Notes :

    ▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
    ▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
    ▸ Si après le redémarrage, ComboFix indique des erreurs au sujet des fichiers à supprimer, redémarrer à nouveau le système.


    Aide : Comment utiliser ComboFix

    2. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
    1. Joel
       
      Tout d'abord,
      merci pour la clarté de ton message !

      http://cjoint.com/12ju/BGechTxTNwy.htm

      Voici le lien du rapport Combofix.

      Merci d'avance encore!

      PS: je suis au Canada alors nos opérations risquent d'être décalées, désolé si les réponses tardent beaucoup.
      0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Ah, c'était l'ancienne variante de l'infection en fait.

    1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    ● Clique sur Start scan.
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
    Conserve l'action proposée par défaut par l'outil en cas de détection.
    ● Pour "Suspicious object" laisse sur "Skip"
    ● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
    ● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    2. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
    1. Joel
       
      J'ai fait le scan avec TDSS, par contre il n'a rien détecté du tout.

      Voici quand même le rapport
      http://cjoint.com/12ju/BGfaDc3EnwH.htm

      Merci A+
      0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Il fallait vérifier quand même comme tenu de l'infection.

    Encore des soucis ?

    A +
    0
    1. Joel
       
      Bonjour!

      TDSS n'a pas detecté aucune anormalité, mais oui j'ai encore des soucis puisque le virus est encore et toujours présent...
      0
  4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Quels sont les problèmes, symptômes ou détections stp ?

    Nous allons regarder pourquoi avec cet outil de diagnostic.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    consrv.dll
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\*. /RP /s
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
    1. Joel
       
      Bonjour,

      comme au début, ad aware détecte l'objet comme "Trojan.Win32.Generic!BT", mais est incapable de le supprimer puisqu'il est de retour après chaque scan. Pour ce qui est ds symptômes, publicités rajoutée par-dessus plusieurs sites, pop-ups multiple et redirection de mes pages internet vers d'autres sites en plus de ralentir le tout.

      J'ai passé le scan OTL en suivant vos instructions, mais il n'a créé qu'un seul rapport; le voici:
      http://cjoint.com/12ju/BGhaSEjIJzs.htm
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Je comprends mieux, tu as aussi la nouvelle variante de l'infection.
    On va s'en occuper.

    Ouvre le bloc-note et copie/colle les instructions en citation :

    KillAll::
    
    ClearJavaCache::
    
    FCopy::
    C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe | C:\Windows\System32\services.exe
    
    Folder::
    C:\Windows\Installer\{3c42eb88-3e76-c42f-e757-e3ec8d556822}
    C:\Users\Joël\AppData\Local\{3c42eb88-3e76-c42f-e757-e3ec8d556822}  

    Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.

    !! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!

    ● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
    ● Patiente pendant le travail de l'outil et la création du rapport.
    ● Héberge le et poste le lien.

    A +
    0
    1. Joel
       
      Merci, voici le lien !

      http://cjoint.com/12ju/BGieuJrKA9L.htm

      A+
      0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    ça doit aller mieux maintenant ?

    Relance OTL

    ● Coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
    ● Héberge le rapport et donne moi le lien.

    A +
    0
    1. Joel
       
      Ouais cela semble déjà mieux!

      Le rapport OTL :
      http://cjoint.com/12ju/BGitAirUebz.htm

      Merci A+
      0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Est-ce que c'est toi qui a désactivé l'UAC ?

    Relance OTL

    ● Dans la partie "Personnalisation", copie/colle les instructions suivantes :

    :OTL
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
    O4:[b]64bit:[/b] - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
    :Files
    C:\Users\Joël\AppData\Local\{3c42eb88-3e76-c42f-e757-e3ec8d556822}
    ipconfig /flushdns /c
    :Commands 
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    Poste le rapport, A +
    0
    1. Joel
       
      Je n'ai rien désactivé! Voici le rapport: http://cjoint.com/12ju/BGiuBECfg60.htm

      Merci A+
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bien, c'est sans doute l'infection alors.
    Je te dirai comment réactiver l'UAC ensuite.

    Comment va le pc, pour moi c'est ok maintenant.

    A +
    0
    1. Joel
       
      Le PC semble beaucoup mieux et les pubs/pop ups sur internet ont disparues pour l'instant!
      De plus, ad-aware ne détecte plus de Trojan.

      Donc réactivation de l'UAC ?

      Merci!
      0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Ok,

    L'infection était bien accrochée sur ton système mais nous l'avons eu.

    == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

    1. Ouvre la commande Exécuter en pressant Windows + R
    ● Dans la boite de dialogue, tape ComboFix /Uninstall
    ● Valide par Ok puis suivre les invites à l'écran.
    ● Un message confirme que ComboFix a été désinstallé.

    2. Lance OTL

    ● Dans la partie "Personnalisation", copie/colle :

    :commands
    [clearallrestorepoints]

    ● Clique sur le bouton Correction.

    3. Relance OTL
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    4. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut. UAC : Pourquoi ne pas le désactiver

    == == == == == == == == == == MISES A JOUR == == == == == == == == == ==

    Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

    https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

    !! Décoche les cases proposant des logiciels partenaires pendant les installations !!

    Désinstalle les anciennes versions de Java si tu en as encore installées.
    https://www.java.com/fr/download/help/remove_olderversions.html

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bonne continuation
    0
    1. Joel
       
      Merci beaucoup pour l'aide !
      0