Libellules.ch - forum d'informatique • [résolu]Trojan Blacole Réf. : Désinfections et demandes d'analyse

par **clem968** » 15 Juil 2012 11:26

Bonjour, nouvellement inscrite sur les conseils de Babyl, mon pc n'a apparemment pas été épargné par le trojan Blackcole.
Je ne suis pas compétente dans ce domaine et je m'en remet à vos précieux conseils pour savoir ce que je peux faire.
Dans l'attente de vous lire, je vous remercie par avance. CLEM

par **lenapache** » 15 Juil 2012 12:29

Bonjour clem968 et bienvenue sur libellules.ch

Avant de faire quoi que ce soit on va faire un audit de ton PC

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan

ZHPDiag

Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
Lance ZHPDiag en double cliquant sur présent sur ton bureau
Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
Clique sur Options
Clique sur
Clique en haut à gauche sur la loupe
Laisse le scan se dérouler.
Le scan terminé, clique sur la disquette
Enregistre le rapport sur le bureau.
Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

par **clem968** » 15 Juil 2012 21:08

Bonsoir, merci pour votre rapidité.
Voici le rapport j'espère avoir fait les bonnes manips. Bonne réception.
http://cjoint.com/?BGpwfPZSHj6

par **lenapache** » 16 Juil 2012 07:17

Bonjour,

Scan AdwCleaner

Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs

Double clique sur AdwCleaner.exe qui est sur le bureau.
Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
Clique sur Recherche
Laisse l'outil travailler
Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

par **clem968** » 16 Juil 2012 14:35

Bonjour, le logiciel se télécharge mais impossible de l'exécuter (message : autorisations insuffisantes)
Je retente la manipulation et si j'ai du nouveau, je vous préviens. Merci par avance.

par **lenapache** » 16 Juil 2012 17:56

Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs

Pour Vista:
- Clique sur Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes d'utilisateurs
- Clique ensuite sur Désactiver et valide.
- Si tu ne sais pas comment faire consulte ce lien :
http://www.zebulon.fr/astuces/220-desac ... vista.html

Pour Windows 7
- Clique sur Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes et protection des utilisateurs
- Comptes d'utilisateurs
- Modifier les paramètres de contrôle de compte d'utilisateur
- Placer le curseur tout en bas sur "Ne jamais m'avertir"
http://forum.pcastuces.com/desactiver_u ... f31s57.htm

Retente ensuite le scan avec AdwCleaner

par **clem968** » 17 Juil 2012 09:24

Bonjour, manipulation effectuée puis redémarrage du pc mais toujours impossible d'exécuter le fichier (même message : autorisations insuffisantes)

par **lenapache** » 17 Juil 2012 17:07

Bonjour clem968

On dirait qu'il y a des restrictions sur ce PC.

On va utiliser un autre scanneur

Les rapports d'Otl doivent être postés en lien, ils sont parfois trop longs pour tenir dans une réponse.

Télécharge OTL de (Old_Timer)
Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.
Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

Coche Tous les utilisateurs
Règle Age des fichiers sur 60 jours
Coche Recherche lop et Recherche purity
Si tu as une version 64 bits de Windows coche aussi la case 64 bits qui est en dessous de Tous les utilisateurs.

Copie/colle le texte qui est dans cadre code sous l'emplacement Personnalisation

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

Clique sur le bouton Analyse rapide
Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

Poste le contenu de OTL.txt (qui sera affiché) ainsi que de Extras.txt (qui sera réduit dans la Barre des Tâches) en lien.

Pour poster les rapports en lien utilise

par **clem968** » 18 Juil 2012 10:10

Bonjour, il semblerait que ce soit l'anti virus qui bloque pas mal de choses. J'ai enfin réussi à télécharger OTL et lancer l'analyse rapide sauf ...qu'au bout d'une petite heure le pc s'est éteint (surchauffe je pense). Est ce que je peux lancer l'analyse post par post (processus puis modules etc etc). Je suis vraiment désolée, je vous donne du travail supplémentaire mais mon pc devient de plus en plus bizarre (je vous écris sur celui de mon fils !). Merci par avance.

par **lenapache** » 19 Juil 2012 21:17

Bonjour clem968

On va faire autrement.

A partir d'un autre PC

Télécharge OTLPEnet
Mets un cd vierge dans ton graveur
Double clic sur OTLPENet.exe et accepte la gravure du cd
Redémarre le PC infecté avec le CD que tu viens de graver
Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long
Si ton PC est connecté en Ethernet tu auras accés au net
Avec readtogo tu dois avoir un fichier nommé OTLPE
Double clic dessus :
Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

Clique sur le bouton Runscan
Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.
Poste le contenu de OTL.txt en lien en utilisant cet hébergeur
Ce dernier est beaucoup trop grand pour tenir dans une réponse
Tutoriel pour OTLPEnet Ici

par **clem968** » 20 Juil 2012 12:17

Bonjour, merci pour votre message. Je suis en Wifi, je fais les manipulations écrites et vous tiens au courant de la situation.
Bonne journée. Clem

par **clem968** » 21 Juil 2012 14:40

Bonjour, j'ai vraiment l'impression d'avoir un pc récalcitrant. J'ai téléchargé OTLPE net sur le pc de mon fis, gravé sur un CD. Lors du redémarrage, rien ne s'est produit.
J'ai donc regardé dans ordinateur et j'ai trouvé le cd sur lequel j'ai cliqué. J'ai réussi à trouvé le fichier OTLPE et j'ai exécuté (rien ne s'annonçait comme vous me l'avez indiqué). Copié collé ce qui était inscrit dans le message RUNSCAN et 3h38 plus tard, un fichier texte (bizarre je trouve) s'est affiché !!! Voici le lien : http://cjoint.com/?3GvpJZmHAnJ
Je trouve mon pc de plus en plus étrange ... je ne pourrai pas consulter mes messages dans le courant de la semaine mais reprendrai vite contact avec vous.
Bonne réception et merci pour votre patience. Clem

par **clem968** » 01 Aoû 2012 09:37

Bonjour, comme je l'avais indiqué je reprends contact avec vous suite au scan effectué. Je vous souhaite une belle journée. Cordialement. Clem

par **lenapache** » 01 Aoû 2012 21:31

Bonsoir clem968

Il faut recommencer le scan avec OTL le lien n'est plus valide

par **clem968** » 02 Aoû 2012 16:56

Bonjour, voici le lien concernant le résultat du scan : http://cjoint.com/?3Hcr2MrsKBr
Je vous en souhaite bonne réception. Merci.
Clem968

par **lenapache** » 03 Aoû 2012 07:57

Bonjour clem968

Scan AdwCleaner

Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs

Double clique sur AdwCleaner.exe qui est sur le bureau.
Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
Clique sur Recherche
Laisse l'outil travailler
Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

par **clem968** » 03 Aoû 2012 09:20

Bonjour et merci pour votre rapidité de réponse.
Voici le résultat de la recherche : http://cjoint.com/?3HdktcnWAq9
Bonne réception et belle journée.
Clem968

par **lenapache** » 03 Aoû 2012 10:28

Parfait on passe à la suite.

Les rapports demandés doivent être postés en lien et dans la même réponse

AdwCleaner Suppression

Double clique sur AdwCleaner.exe qui est sur le bureau.
Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
Clique sur Suppression
Laisse l'outil travailler
Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Refais un scan avec OTL poste ensuite le contenu de OTL.txt en lien

Note : Tu as deux rapports à poster

par **clem968** » 05 Aoû 2012 13:34

Bonjour, voici le résultat du scan (par contre j'ai refais la manip avec le cd gravé, j'espère que je n'ai pas fais d'erreur) : http://cjoint.com/?3HfoCAo8JMw
J'ai bien noté dans votre message qu'il devait y avoir de rapports mais un seul est à l'écran lorsque le scan est terminé. Par contre j'ai regardé ailleurs et j'ai trouvé un autre fichier enregistré dans C:
http://cjoint.com/?3HfoHlnHXW7. Bonne réception et merci par avance. Clem968

par **lenapache** » 07 Aoû 2012 10:05

Bonjour clem968

Il y a des traces de deux antivirus avast et McAfee Internet Security Suite il doit y avoir qu'un seul antivirus l'un de ces deux V doit être désinstallé.

OTLPEnet Script

Le PC redémarré avec le CD d'OTLPEnet

Double clic sur OTL
Copie/colle tout le texte qui est en citation en dessous de Custom Scan/Fixes

:OTL
IE - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files\4shared.com\tb4sha.dll
IE - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\URLSearchHook: {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O2 - BHO: (4shared.com Toolbar) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files\4shared.com\tb4sha.dll
O2 - BHO: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (4shared.com Toolbar) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files\4shared.com\tb4sha.dll
O3 - HKLM\..\Toolbar: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\Toolbar\WebBrowser: (4shared.com Toolbar) - {09EC805C-CB2E-4D53-B0D3-A75A428B81C7} - C:\Program Files\4shared.com\tb4sha.dll
O3 - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\Toolbar\WebBrowser: (PHPNukeFR Toolbar) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O3 - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

:files
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:B623B5B8
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:35759C73
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:E1982A23
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:41099CE9
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:CE0A077E
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:814B9485
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:CDFF58FE
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:ADE16379
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:4F636E25
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:DCAF903C
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3064D21D
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:BB24555F
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:9E22BBE8
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:798A3728
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:B203B914
@Alternate Data Stream - 106 bytes -> C:\ProgramData\Temp:3B3A35EC
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:8750DCE4

Clique sur le bouton Run Fix
Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
Poste le contenu du rapport généré dans ta prochaine réponse
Retire le Cd d'OTLPEnet et tente un redémarage en mode normal

[résolu]Trojan Blacole Réf.

[résolu]Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Re: Trojan Blacole Réf.

Qui est en ligne