[résolu]Trojan Blacole Réf.

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[résolu]Trojan Blacole Réf.

Messagepar clem968 » 15 Juil 2012 11:26

Bonjour, nouvellement inscrite sur les conseils de Babyl, mon pc n'a apparemment pas été épargné par le trojan Blackcole.
Je ne suis pas compétente dans ce domaine et je m'en remet à vos précieux conseils pour savoir ce que je peux faire.
Dans l'attente de vous lire, je vous remercie par avance. CLEM
Dernière édition par clem968 le 02 Oct 2012 19:59, édité 1 fois.
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 15 Juil 2012 12:29

Bonjour clem968 et bienvenue sur libellules.ch

Avant de faire quoi que ce soit on va faire un audit de ton PC

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Image Scan

    Télécharge ZHPDiag (de Nicolas coolman)

  • Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  • Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Lance ZHPDiag en double cliquant sur Image présent sur ton bureau
  • Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
  • Clique sur Options Image
  • Clique sur Image
    Image
  • Clique en haut à gauche sur la loupe Image
  • Laisse le scan se dérouler.

    Image
  • Le scan terminé, clique sur la disquette Image
  • Enregistre le rapport sur le bureau.
  • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Image Pour poster le rapport en lien utilise cet hébergeur de fichiers : Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 15 Juil 2012 21:08

Bonsoir, merci pour votre rapidité.
Voici le rapport j'espère avoir fait les bonnes manips. Bonne réception.
http://cjoint.com/?BGpwfPZSHj6
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 16 Juil 2012 07:17

Bonjour,

Scan AdwCleaner


Image Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs


  • Double clique sur AdwCleaner.exe qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Clique sur Recherche

    Image
  • Laisse l'outil travailler
  • Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
  • Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 16 Juil 2012 14:35

Bonjour, le logiciel se télécharge mais impossible de l'exécuter (message : autorisations insuffisantes)
Je retente la manipulation et si j'ai du nouveau, je vous préviens. Merci par avance.
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 16 Juil 2012 17:56

Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs


Pour Vista:
- Clique sur Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes d'utilisateurs
- Clique ensuite sur Désactiver et valide.
- Si tu ne sais pas comment faire consulte ce lien :
http://www.zebulon.fr/astuces/220-desac ... vista.html

Pour Windows 7
- Clique sur Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes et protection des utilisateurs
- Comptes d'utilisateurs
- Modifier les paramètres de contrôle de compte d'utilisateur
- Placer le curseur tout en bas sur "Ne jamais m'avertir"
http://forum.pcastuces.com/desactiver_u ... f31s57.htm

Retente ensuite le scan avec AdwCleaner
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 17 Juil 2012 09:24

Bonjour, manipulation effectuée puis redémarrage du pc mais toujours impossible d'exécuter le fichier (même message : autorisations insuffisantes)
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 17 Juil 2012 17:07

Bonjour clem968

On dirait qu'il y a des restrictions sur ce PC.

On va utiliser un autre scanneur

Les rapports d'Otl doivent être postés en lien, ils sont parfois trop longs pour tenir dans une réponse.

  • Télécharge OTL de (Old_Timer)
  • Double-clique sur OTL.exe qui est sur le Bureau pour le lancer.
  • Pour Vista et Seven faire un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur


  • Coche Tous les utilisateurs
  • Règle Age des fichiers sur 60 jours
  • Coche Recherche lop et Recherche purity
  • Si tu as une version 64 bits de Windows coche aussi la case 64 bits qui est en dessous de Tous les utilisateurs.

Copie/colle le texte qui est dans cadre code sous l'emplacement Personnalisation

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT


Image


  • Clique sur le bouton Analyse rapide
  • Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront dans le Bloc-Notes.

Poste le contenu de OTL.txt (qui sera affiché) ainsi que de Extras.txt (qui sera réduit dans la Barre des Tâches) en lien.

Pour poster les rapports en lien utilise Image
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 18 Juil 2012 10:10

Bonjour, il semblerait que ce soit l'anti virus qui bloque pas mal de choses. J'ai enfin réussi à télécharger OTL et lancer l'analyse rapide sauf ...qu'au bout d'une petite heure le pc s'est éteint (surchauffe je pense). Est ce que je peux lancer l'analyse post par post (processus puis modules etc etc). Je suis vraiment désolée, je vous donne du travail supplémentaire mais mon pc devient de plus en plus bizarre (je vous écris sur celui de mon fils !). Merci par avance.
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 19 Juil 2012 21:17

Bonjour clem968

On va faire autrement.


Image A partir d'un autre PC


  • Télécharge OTLPEnet
  • Mets un cd vierge dans ton graveur
  • Double clic sur OTLPENet.exe et accepte la gravure du cd
  • Redémarre le PC infecté avec le CD que tu viens de graver
  • Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long
  • Si ton PC est connecté en Ethernet tu auras accés au net
  • Avec readtogo tu dois avoir un fichier nommé OTLPE
  • Double clic dessus :
  • Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT



  • Clique sur le bouton Runscan
  • Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
  • Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.
  • Poste le contenu de OTL.txt en lien en utilisant cet hébergeur Image
  • Ce dernier est beaucoup trop grand pour tenir dans une réponse
  • Tutoriel pour OTLPEnet Ici
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 20 Juil 2012 12:17

Bonjour, merci pour votre message. Je suis en Wifi, je fais les manipulations écrites et vous tiens au courant de la situation.
Bonne journée. Clem
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar clem968 » 21 Juil 2012 14:40

Bonjour, j'ai vraiment l'impression d'avoir un pc récalcitrant. J'ai téléchargé OTLPE net sur le pc de mon fis, gravé sur un CD. Lors du redémarrage, rien ne s'est produit.
J'ai donc regardé dans ordinateur et j'ai trouvé le cd sur lequel j'ai cliqué. J'ai réussi à trouvé le fichier OTLPE et j'ai exécuté (rien ne s'annonçait comme vous me l'avez indiqué). Copié collé ce qui était inscrit dans le message RUNSCAN et 3h38 plus tard, un fichier texte (bizarre je trouve) s'est affiché !!! Voici le lien : http://cjoint.com/?3GvpJZmHAnJ
Je trouve mon pc de plus en plus étrange ... je ne pourrai pas consulter mes messages dans le courant de la semaine mais reprendrai vite contact avec vous.
Bonne réception et merci pour votre patience. Clem
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar clem968 » 01 Aoû 2012 09:37

Bonjour, comme je l'avais indiqué je reprends contact avec vous suite au scan effectué. Je vous souhaite une belle journée. Cordialement. Clem
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 01 Aoû 2012 21:31

Bonsoir clem968

Il faut recommencer le scan avec OTL le lien n'est plus valide
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 02 Aoû 2012 16:56

Bonjour, voici le lien concernant le résultat du scan : http://cjoint.com/?3Hcr2MrsKBr
Je vous en souhaite bonne réception. Merci.
Clem968
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 03 Aoû 2012 07:57

Bonjour clem968

Scan AdwCleaner


Image Télécharge AdwCleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs


  • Double clique sur AdwCleaner.exe qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Clique sur Recherche

    Image
  • Laisse l'outil travailler
  • Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
  • Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 03 Aoû 2012 09:20

Bonjour et merci pour votre rapidité de réponse.
Voici le résultat de la recherche : http://cjoint.com/?3HdktcnWAq9
Bonne réception et belle journée.
Clem968
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 03 Aoû 2012 10:28

Parfait on passe à la suite.


Les rapports demandés doivent être postés en lien et dans la même réponse


AdwCleaner Suppression


  • Double clique sur AdwCleaner.exe qui est sur le bureau.
  • Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
    Clique sur Suppression

    Image
  • Laisse l'outil travailler
  • Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu en lien dans ta prochaine réponse.
  • Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



Image Refais un scan avec OTL poste ensuite le contenu de OTL.txt en lien


Note : Tu as deux rapports à poster
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Trojan Blacole Réf.

Messagepar clem968 » 05 Aoû 2012 13:34

Bonjour, voici le résultat du scan (par contre j'ai refais la manip avec le cd gravé, j'espère que je n'ai pas fais d'erreur) : http://cjoint.com/?3HfoCAo8JMw
J'ai bien noté dans votre message qu'il devait y avoir de rapports mais un seul est à l'écran lorsque le scan est terminé. Par contre j'ai regardé ailleurs et j'ai trouvé un autre fichier enregistré dans C:
http://cjoint.com/?3HfoHlnHXW7. Bonne réception et merci par avance. Clem968
clem968
 
Messages: 33
Inscription: 15 Juil 2012 09:24

Re: Trojan Blacole Réf.

Messagepar lenapache » 07 Aoû 2012 10:05

Bonjour clem968

Il y a des traces de deux antivirus avast et McAfee Internet Security Suite il doit y avoir qu'un seul antivirus l'un de ces deux V doit être désinstallé.


OTLPEnet Script

Image Le PC redémarré avec le CD d'OTLPEnet

Double clic sur OTL
Copie/colle tout le texte qui est en citation en dessous de Custom Scan/Fixes

:OTL
IE - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files\4shared.com\tb4sha.dll
IE - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\URLSearchHook: {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O2 - BHO: (4shared.com Toolbar) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files\4shared.com\tb4sha.dll
O2 - BHO: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (4shared.com Toolbar) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files\4shared.com\tb4sha.dll
O3 - HKLM\..\Toolbar: (PHPNukeFR Toolbar) - {1c491116-c175-45e1-a570-6fb14fea8b7b} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\Toolbar\WebBrowser: (4shared.com Toolbar) - {09EC805C-CB2E-4D53-B0D3-A75A428B81C7} - C:\Program Files\4shared.com\tb4sha.dll
O3 - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\Toolbar\WebBrowser: (PHPNukeFR Toolbar) - {1C491116-C175-45E1-A570-6FB14FEA8B7B} - C:\Program Files\PHPNukeFR\tbPHP0.dll
O3 - HKU\S-1-5-21-1129687469-3499488193-3977359893-1000\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

:files
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:B623B5B8
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:35759C73
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:E1982A23
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:41099CE9
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:CE0A077E
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:814B9485
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:CDFF58FE
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:ADE16379
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:4F636E25
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:DCAF903C
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3064D21D
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:BB24555F
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:9E22BBE8
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:798A3728
@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:B203B914
@Alternate Data Stream - 106 bytes -> C:\ProgramData\Temp:3B3A35EC
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:8750DCE4


  • Clique sur le bouton Run Fix
  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste le contenu du rapport généré dans ta prochaine réponse
  • Retire le Cd d'OTLPEnet et tente un redémarage en mode normal
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités