Bonjour

J'ai récupéré un trojan BlacoleRef sur mon PC win7.
Détecté et supprimé par mon anti virus Mocrosoft Security Essentials.

mais bon je ne suis sure de rien et espère que tout à disparu.

Je fais donc appel à vous pour une vérification afin d'être sure que tout est clean maintenant si cela est possible.

En vous remerciant d'avance.

Babyl

Bonjour Babyl


Avant de faire quoi que ce soit on va faire un audit de ton PC

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan

Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Lance ZHPDiag en double cliquant sur présent sur ton bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur Options
• Clique sur
  
• Clique en haut à gauche sur la loupe
• Laisse le scan se dérouler.
  
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

[/list]

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

Bonjour Lepanache

Merci pour ton aide
Voici le fichier j'espère que j'ai bien fait comme il fallait.

http://cjoint.com/?3Gntxd2FVFi

C'est parfait, c'est exactement ce qu'il me fallait.

Les rapports demandés doivent être postés en lien et dans la même réponse


Suppression avec ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
• Sur la page qui s'ouvre clic droit et Tout sélectionner
• Refais un clic droit et Copier
• Double clique sur qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  
  • Clique maintenant sur (coller les lignes helper)
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
    
    
    
  • Clique sur
  • Confirme le nettoyage des données si demandé
    
    
    
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse
• Ce rapport se trouve aussi ici D:\ZHP\ZHPFix[R*].txt

Scan Malwarebyte's


Télécharge Enregistre ce fichier sur le bureau

• Le téléchargement terminé ferme ton navigateur ainsi que toutes les applications en cours
• Fais un double-clic sur mbam-setup.exe afin de lancer l'installation
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
  
• MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boite de dialogue.
• La mise à jour faite :
• Sélectionne Exécuter un examen rapide si ce n'est pas déja fait
• clique sur Rechercher
  
  • Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
  • Si MalwareByte's a détecté des infections :
  • Clique sur Afficher les résultats
  • Ensuite sur Supprimer la sélection
• Poste le rapport de MalwareByte's Anti-Malware
• Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs
• Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
• Aide pour MalwareByte's Lien

Nouveau scan ZHPDiag

Refais un scan avec ZHPDiag poste ensuite son rapport en lien.

Note : Tu as trois rapports à poster

Voici les 3 rapports

Le zhpfix :
http://cjoint.com/?3Gnv7HlVz8T

Le malwarebytes :
http://cjoint.com/?3GnwbU58UPr

et le ZHPDiag :
http://cjoint.com/?3GnwdFezJRA

Bonjour Babyl

Pas de traces d'infection dans le dernier rapport de ZHPDiag posté, je vais te faire passer un scan en ligne.

ESET Online Scanner

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce lien:
http://download.eset.com/special/eos/es ... er_enu.exe


- Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.

Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
- Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
- Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

- Lance la recherche antivirale en cliquant sur le bouton "Start":
l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
- Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
- Une nouvelle fenêtre apparaît:
clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
- Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
- Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
[*] Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu en lien dans ta prochaine réponse

Le scan fut très long et vient seulement de se terminer

le logESET :
http://cjoint.com/?3GowPN8FWrH

Merci encore de ton aide

Bonjour Babyl


Télécharge OTM.exe (de Old_Timer) Enregistre ce fichier sur le Bureau.

• Double-clique sur OTM.exe
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Copie le texte qui se trouve en citation et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

:files
C:\Users\Marylène\AppData\Local\Temp\ICReinstall\cnet_AvaFind_EXE.exe
C:\Users\Marylène\AppData\Local\Temp\is1598539481\MyBabylonTB.exe
C:\Users\Marylène\AppData\Local\Temp\plugtmp-5\plugin-ChangeLog.pdf
C:\Users\Marylène\Documents\Logiciels\ava-find\cnet_AvaFind_EXE.exe
G:\MARYLENE-PC\Backup Set 2012-05-16 110034\Backup Files 2012-05-16 110034\Backup files 5.zip

:commands
[emptytemp]
[EmptyFlash]

• Clique sur MoveIt! pour lancer la suppression.
• Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
• Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
• Accepte en cliquant sur YES.
• Poste le rapport de OTM qui se trouve dans C:\_OTM\MovedFiles.
• Le nom du rapport correspond au moment de sa création : date_heure.log

Voici le rapport
http://cjoint.com/?3GpkGyiFl6G

Recommence la procédure avec OTM rien n'a été supprimé.

Je crois que j'ai loupé une manip tout à l'heure, j'espère que j'ai mieux travaillé cette fois

http://cjoint.com/?3GplLBjmSc4

On va doubler

refais un scan en ligne avec Eset poste ensuite son rapport

Ok

Je m'y mets

C'est fait mais je n'avais pas de rapport, ou ai-je loupé quelque chose

0 fichiers infectés
0 fichiers nettoyés

Une chose m'intrigue quand même j'ai sur le bureau des fichiers cachés ini et dans mes documents aussi des fichiers cachés et des documents avec cadenas que je n'avais pas avant.
Je les ai remarqué depuis la première manip avec OTM exe celle qui n'avait rien effacé.

Je précise aussi que j'avais déjà avant paramétré pour avoir les fichiers cachés affichés, mais que je n'avais pas tous ceux là d'affichés dans mes documents et sur mon bureau.

Bonjour Babyl

quel est le nom des fichiers .ini cachés qui sont sur le bureau

Bonjour Lenapache

2 fichiers du même nom desktop.ini

Je mets une image
et aussi des images des dossiers et fichiers dans mes documents

http://cjoint.com/?BGqjvLRHXGB

et celles de mes documents

http://cjoint.com/?BGqjxVNfv3j
http://cjoint.com/?BGqjzo4tsNN
http://cjoint.com/?BGqjAnZpAEX
http://cjoint.com/?BGqjBOBBHXN

Et quand je coche masquer les fichiers cachés les répertoires avec cadenas restent en répertoires visibles non surbrillants

Pour les dossiers avec cadenas c'est normal ils sont toujours visibles même si tu coche Afficher les fichiers, dossiers et lecteurs cachés

Quant aux deux fichiers desktop.ini qui sont sur le bureau supprime les purement et simplement

Ok, j'ai fait

mais y at-il une explication sur le fait que je ne les avais pas avant ?

C'est après avoir utilisé un des outils chargés de désinfecter ton PC qu'ils sont apparus, il suffit simplement de les supprimer pour que tout rentre dans l'ordre.

As tu encore des ennuis avec ton PC ? Si ce n'est pas le cas on pourra finaliser ce sujet.

Non pas de soucis tout semble ok maintenant.