Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

JS/Exploit-Blacole.ht vu par McAffe pas par Norton Internet Security !

 

Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

JS/Exploit-Blacole.ht vu par McAffe pas par Norton Internet Security !

Prévenir les modérateurs en cas d'abus 
jpol36
jpol36
Tu cartonnes ! (de 500 à 999 messages postés)
  1. Posté le 03/02/2013 à 16:48:55  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonjour,
 J'ai eu un problème sur un de mes sites... tous les fichiers *.htm ont été mis à jour du 03/02/2013 par je ne sais qui et infectés par JS/Exploit-Blacole.ht que McAfee détectait.
 Sur un autre ordinateur sur lequel j'ai Norton Internet Security, rien n'était détecté !!!
 Mes recherches m'ont conduit à un Cheval de Troie !!!
 Bien évidemment, j'ai changé mes mots de passe pour mes accès FTP, et retéléchargé tous mes fichiers *.htm
 Est-ce que quelqu'un a déjà eu ce problème ?


---------------
jpol
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/02/2013 à 17:05:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut jpol36


 Malekal avais fais un billet justement sur les site web pirater :
 http://www.malekal.com/2012/08 [...] malicieux/


 On va vérifier le PC :

 Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.

 - Quitte les applications en cours afin de ne pas interrompre le scan.
 - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
 Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
 - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
 - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

 Ne modifie pas les autres paramètres !

 Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

 netsvcs
 msconfig
 safebootminimal
 safebootnetwork
 activex
 drivers32
 %SYSTEMDRIVE%\*.*
 %SYSTEMDRIVE%\*.exe
 %PROGRAMFILES%\*.*
 %PROGRAMFILES%\*.
 /md5start
 consrv.dll
 volsnap.sys
 hidserv.dll
 appmgmts.dll
 eventlog.dll
 winlogon.exe
 scecli.dll
 netlogon.dll
 cngaudit.dll
 sceclt.dll
 ntelogon.dll
 logevent.dll
 iaStor.sys
 nvstor.sys
 atapi.sys
 IdeChnDr.sys
 viasraid.sys
 AGP440.sys
 vaxscsi.sys
 nvatabus.sys
 viamraid.sys
 wininet.dll
 wininit.exe
 nvata.sys
 nvgts.sys
 iastorv.sys
 ViPrt.sys
 eNetHook.dll
 explorer.exe
 svchost.exe
 userinit.exe
 qmgr.dll
 ws2_32.dll
 proquota.exe
 imm32.dll
 kernel32.dll
 ndis.sys
 autochk.exe
 spoolsv.exe
 xmlprov.dll
 ntmssvc.dll
 mswsock.dll
 Beep.SYS
 ntfs.sys
 termsrv.dll
 sfcfiles.dll
 st3shark.sys
 winlogon.exe
 wininit.ini
 /md5stop
 HKEY_LOCAL_MACHINE\SYSTEM\Curr​entControlSet\Control\Session Manager\SubSystems /s
 SAVEMBR:0
 %systemroot%\*. /mp /s
 %systemroot%\system32\*.dll /lockedfiles
 %systemroot%\Tasks\*.job /lockedfiles
 %systemroot%\system32\drivers\​*.sys /lockedfiles
 %systemroot%\System32\config\*​.sav
 c:\$recycle.bin\*.* /s


 - Clique sur le bouton Analyse.
 - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

 Utilise cjoint.com pour poster en lien tes rapports :
 http://cjoint.com/

 - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
 - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

 - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

 Après fais de même avec l'autre rapport Extras.txt


 @++   :)

(Publicité)
jpol36
Tu cartonnes ! (de 500 à 999 messages postés)
  1. Posté le 05/02/2013 à 20:01:17  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonsoir dédétraqué,
 voilà les fichiers...
 quand je vais sur cjoint.com, j'ai"Site Web malveillant bloqué"
 alors je te les mets en téléchargement ici : http://www.torep.fr/otl.zip
 à+, jpol.


---------------
jpol
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 05/02/2013 à 21:57:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut jpol36


 Double clic sur OTL.exe pour le lancer.
 (Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

 * Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

 



:OTL
 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sy​s -- (VBoxNetFlt)
 DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Capt905c.sys -- (SQTECH905C)
 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwl2cap.sys -- (btwl2cap)
 DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\bt​wampfl.sys -- (btwampfl)    
 IE - HKLM\..\SearchScopes\{9BB47C17​-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = http://dts.search-results.com/ [...] archTerms}
 IE - HKLM\..\SearchScopes\{9BB47C17​-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/ [...] archTerms}
 IE - HKLM\..\SearchScopes\{AFDBDDAA​-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/Resu [...] =CT2801948
 IE - HKLM\..\SearchScopes\{EEE6C360​-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/sear [...] 6A3F2E563}
 IE - HKLM\SOFTWARE\Microsoft\Intern​et Explorer\Main,Start Page = http://www.bigseekpro.com/spee [...] B4459BB7A}
 IE - HKLM\..\SearchScopes,DefaultSc​ope = {9BB47C17-9C68-4BB3-B188-DD9AF​0FD2405}
 IE - HKU\S-1-5-21-1015041813-384436​0557-1939359969-1000\..\URLSea​rchHook: {249d74a3-bd19-4657-b6ce-e62f4​80a20de} - No CLSID value found
 IE - HKU\S-1-5-21-1015041813-384436​0557-1939359969-1000\..\URLSea​rchHook: {ba679afc-8ba0-48f4-b8bf-c144e​8699fbc} - No CLSID value found
 IE - HKU\S-1-5-21-1015041813-384436​0557-1939359969-1000\..\Search​Scopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF​0FD2405}
 IE - HKU\S-1-5-21-1015041813-384436​0557-1939359969-1000\..\Search​Scopes\{96bd48dd-741b-41ae-ac4​a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/sear [...] archTerms}
 IE - HKU\S-1-5-21-1015041813-384436​0557-1939359969-1000\..\Search​Scopes\{9BB47C17-9C68-4BB3-B18​8-DD9AF0FD2405}: "URL" = http://dts.search-results.com/ [...] archTerms}
 FF - prefs.js..browser.search.defau​ltenginename: "MyStart Search"
 FF - prefs.js..browser.search.defau​ltthis.engineName: "Ashampoo FR Customized Web Search"
 FF - prefs.js..browser.search.order​.1: "Search Results"
 FF - prefs.js..browser.search.selec​tedEngine: "Ashampoo FR Customized Web Search"
 FF - prefs.js..browser.search.useDB​ForOrder: true
 FF - prefs.js..browser.startup.home​page: "http://search.conduit.com/?SS​PV=FFOB10&ctid=CT2481024&Searc​hSource=13"
 FF - prefs.js..extensions.enabledAd​dons: {EEE6C361-6118-11DC-9C72-00132​0C79847}:1.9.0.0    
 FF - prefs.js..extensions.enabledAd​dons: {249d74a3-bd19-4657-b6ce-e62f4​80a20de}:10.10.20.14    
 FF - prefs.js..keyword.URL: "http://search.conduit.com/Res​ultsExt.aspx?SSPV=FFOB10&ctid=​CT2481024&SearchSource=2&q="
 FF - HKEY_LOCAL_MACHINE\software\mo​zilla\Firefox\Extensions\\{336​D0C35-8A85-403a-B9D2-65C292C39​087}: C:\Program Files\Web Assistant\Firefox    
 [2012/08/11 12:00:14 | 000,000,000 | ---D | M] (IncrediMail MediaBar Francais 2) -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\Firefox\Profiles\​ms5gp0xx.default\extensions\{2​49d74a3-bd19-4657-b6ce-e62f480​a20de}    
 [2012/08/03 10:40:27 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\Firefox\Profiles\​ms5gp0xx.default\extensions\ff​xtlbr@incredibar.com
 [2013/01/27 12:01:57 | 000,190,000 | ---- | M] () (No name found) -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\firefox\profiles\​ms5gp0xx.default\extensions\{E​EE6C361-6118-11DC-9C72-001320C​79847}.xpi    
 [2012/07/12 11:20:28 | 000,000,957 | ---- | M] () -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\firefox\profiles\​ms5gp0xx.default\searchplugins​\conduit.xml    
 [2012/08/11 11:58:21 | 000,002,185 | ---- | M] () -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\firefox\profiles\​ms5gp0xx.default\searchplugins​\MyStart Search.xml    
 [2012/08/10 10:32:28 | 000,002,515 | ---- | M] () -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\firefox\profiles\​ms5gp0xx.default\searchplugins​\Search_Results.xml    
 [2012/03/05 17:38:34 | 000,003,915 | ---- | M] () -- C:\Users\Jean-Paul\AppData\Roa​ming\mozilla\firefox\profiles\​ms5gp0xx.default\searchplugins​\sweetim.xml    
 [2011/09/24 12:33:20 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.​xml    
 [2012/08/10 10:32:28 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_R​esults.xml    
 O3 - HKLM\..\Toolbar: (no name) - !{ae07101b-46d4-4a98-af68-0333​ea26e113} - No CLSID value found.    
 O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D​8127440} - No CLSID value found.    
 O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
 O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Off​ice14\ONBttnIE.dll/105 File not found    
 O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Off​ice14\EXCEL.EXE/3000 File not found    
 O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\SweetIM\Toolbars\Interne​t Explorer\resources\menuext.htm​l File not found    
 [2011/09/24 12:33:19 | 000,000,000 | ---D | M] -- C:\Users\Jean-Paul\AppData\Roa​ming\Babylon    
 [2010/12/14 11:05:27 | 000,000,000 | ---D | M] -- C:\Users\Jean-Paul\AppData\Roa​ming\OfferBox    
 [2012/09/03 12:39:18 | 000,000,000 | ---D | M] -- C:\Users\Jean-Paul\AppData\Roa​ming\OpenCandy    
 [2010/12/22 09:06:40 | 000,000,000 | ---D | M] -- C:\Users\Jean-Paul\AppData\Roa​ming\vmndtxtb    
 [2012/08/11 12:00:34 | 000,000,009 | ---- | M] () -- C:\END    
 [2012/07/12 17:49:12 | 000,000,000 | ---D | M] -- C:\Program Files\Conduit    

 :Commands
 [Emptytemp]





 * Clique sur " Correction " pour lancer la suppression.

 * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

 * Au redémarrage , autorise OTL a s'exécuter.

 * Poste le rapport généré par OTL.


 -----


 Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
 http://general-changelog-team. [...] adwcleaner

 Lance le, clique sur [Suppression] puis patiente le temps du scan.
 Une fois le scan fini, un rapport s'ouvrira, poste le contenu de ce rapport.
 Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


 -----


 herisson41​-7 Télécharge et installe MalwareByte's Anti-Malware
 http://www.commentcamarche.net [...] lware-free

 herisson41​-7 Mets le à jour (Important)

 herisson41​-7 Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
 herisson41​-7 Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
 herisson41​-7 Clique sur Rechercher

 herisson41​-7 Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur Ok

 herisson41​-7 Si MalwareByte's n'a rien détecté, clique sur Ok  Un rapport va apparaître ferme-le.

 herisson41​-7 Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

 herisson41​-7 Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

 Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

 Tutoriel pour MalwareByte's ici :
 http://www.malekal.com/tutoria [...] alware.php


 @++   :)

jpol36
Tu cartonnes ! (de 500 à 999 messages postés)
  1. Posté le 09/02/2013 à 11:05:39  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
merci pour toutes ces explications, mais actuellement, je reste bloqué avec OTL qui me marque "ne répond pas" au bout de quelques secondes après le démarrage !!!
 et je suis obligé d'éteindre et redémarrer ....
 as-tu une idée du pourquoi ?
 merci, jpol.


---------------
jpol
(Publicité)
Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 14/02/2013 à 02:23:53  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut jpol36


 



as-tu une idée du pourquoi?



 Il bloque sur une suppression...

 Passe a la suite avec AdwCleaner et Malwarebyte's et poste les rapports.

 Après refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.


 @++    :)

 Page :
1

Aller à :
 

Sujets relatifs
désinstallation de la barre search internet Mon antivirus MCAFFE se désactive [RESOLU]
Impossible de télécharger Norton Removal Tool exploit:JS/blacole.b
virus Exploit.win32.MS04-028gen virus exploit
Virus heur/exploit.html[Résolu] cheval de troie js/exploit-BO
Security Toolbar 7.1 (édition suppression identité)  
Plus de sujets relatifs à : JS/Exploit-Blacole.ht vu par McAffe pas par Norton Internet Security !

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
adware expressfiles.A et B -RESOLU 21
mp3mymp3install 0
Ouverture intempestive de pages Web. 1
enlever websearch.good-results 1
Scan Hijackthis 21