[Résolu] infection not-a-virus:fraud.Win32.flashapp.st

phil46 · le 5 mai 2011

Bonsoir,

et salut à tous

J'ai connu le site de Zébulon à ses débuts et je vois aujourd'hui à quel point il s'est bien développé, çà fait plaisir et en plus c'est français

Bon voilà je viens de me faire avoir par le (virus) not-a-virus:fraudtool.Win32.flashapp.st malgré kaspresky (qui l'a gentiment laissé passé

Aprés une grosse frayeur je recommence à reprendre espoir apres avoir commencé à chercher de l'info

j'ai téléchargé et installé hijack this et produis un fichier log que je vais coller à la fin de mon message

les gars de zébulon vont ils m'aider à chasser cette vilaine saloperie

pour le moment j'utilise mozilla (apparament sans soucis) mais y m'a pourri complétement IE qu'il contrôle naturellement kaspesky ne peut pas grand chose pour moi ( le truc repart a chaque démarage)

voilá autant dire que j#attends...l#aide de la communauté et des fidéles de zeb pour me sortir de ce mauvais pas

********************************************************************************************************************

***********************

End of file - 9205 bytes

******************************

A vous lire

A+ Phil Did

Modifié le 7 mai 2011 par phil46

Apollo · le 5 mai 2011

Bonsoir,

Mets ton curseur sur le K rouge de la barre des tâches et donne-moi tous les chiffres que tu vois stp.

Pour les Riskwares, il faut que la case soit cochée:

ZHPDiag :

Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
Double-clique sur ZHPDiag.exe pour lancer l'installation
- Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

[*]Double-clique sur ZHPDiag pour lancer l'exécution

Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

@++

phil46 · le 5 mai 2011

Bonsoir,

Mets ton curseur sur le K rouge de la barre des tâches et donne-moi tous les chiffres que tu vois stp.

Pour les Riskwares, il faut que la case soit cochée:

ZHPDiag :

Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

Double-clique sur ZHPDiag.exe pour lancer l'installation
Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

[*]Double-clique sur ZHPDiag pour lancer l'exécution

Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!

soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

@++

Salut apollo

et tout d'abord merci de ta réponse

1/ j'ai déposé le fichier sur cijoint.fr (je ne connaissais pas ce service :roll:

Le lien

2 pour la première partie de ta réponse je suis allé dans kaspersky /configuration /menaces/j'ai coché /autres programes

par contre à partir de là je ne saisi pas ce que tu aimerais que je te fasses parvenir comme infos de kaspersky...

A+ phil Did

Modifié le 5 mai 2011 par phil46

Apollo · le 5 mai 2011

Je vais te demander de bien vouloir utiliser le bouton "Ajouter une réponse" afin de ne pas citer chaque fois le post précédent, merci.

Pour l'histoire de placer le curseur sur le K rouge de la barre des tâches c'est juste pour connaître la version du logiciel.

2 pour la première partie de ta réponse je suis allé dans kaspersky /configuration /menaces/j'ai coché /autres programes

Ok, mais tu risques d'avoir plus d'alertes que d'habitude, car un "riskware" n'est pas toujours nocif; il peut s'agir entre autres d'un processus d'outil de désinfection quelconque.

Donc si trop d'alertes, re-décoche la case riskwares.

--------

ZHPFix :

Ferme toutes les applications ouvertes
Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
Clique sur H .
Copie-colle les lignes ci-dessous dans la fenêtre

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job    
[HKCU\Software\NtWqIVLZEWZU]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]    
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]     
emptytemp
emptyflash

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

Clique sur le bouton GO pour lancer le nettoyage

Valide par Oui la désinstallation des programmes si demandé
Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

@++

phil46 · le 6 mai 2011

Je vais te demander de bien vouloir utiliser le bouton "Ajouter une réponse" afin de ne pas citer chaque fois le post précédent, merci.

Pour l'histoire de placer le curseur sur le K rouge de la barre des tâches c'est juste pour connaître la version du logiciel.

Ok, mais tu risques d'avoir plus d'alertes que d'habitude, car un "riskware" n'est pas toujours nocif; il peut s'agir entre autres d'un processus d'outil de désinfection quelconque.

Donc si trop d'alertes, re-décoche la case riskwares.

--------

ZHPFix :

Ferme toutes les applications ouvertes

Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

Clique sur H .

Copie-colle les lignes ci-dessous dans la fenêtre
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified     
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job    
[HKCU\Software\NtWqIVLZEWZU]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]    
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]     
emptytemp
emptyflash   
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

Clique sur le bouton GO pour lancer le nettoyage

Valide par Oui la désinstallation des programmes si demandé

Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

@++

Phil a Apollo

je viens de voir ta réponse ce matin avant d'aller au boulot

j'agis cette après midi a tête reposée et je te tiens au courant

PS: pour la version de kaspersky,

kaspersky 2011 avec les bases mises mises a jour

j'ai téléchargé une archive il m'a envoyé un message comme quoi il avait pas (eu le temps de la verifier) pendant le téléchargement

Normalement là j'aurais du me méfier..............

j'ai fais un click droit et j'ai demande a kasper un scan (il L'a fait) et m'a dit que tout était ok

alors j'ai cliqué comme un âne

depuis il m'a enraciné un exe qui démare internet explorer et l'envoie sur des sites a la con avec des url pourries

NB: depuis que j'ai fais d'une pars une mise à jour (windows) et d'autre part (IE)

c'est pas moi qui l'utilise c'est ma femme....çà s'est pas mal calmé

mais à chaque fois que kasper fait un scan complet et nettoie a chaque démarage çà repart

J'ai fais un scan des objets de démarage et apparamment il n'est pas Lá

heureusement que kasper est là tout de même pour bloquer toutes ces url pourries et m'éviter je crois le pire

A+

bonne journée

Modifié le 6 mai 2011 par phil46

Apollo · le 6 mai 2011

Bonjour,

Tu m'as mal compris; quand je demande quelle est la version de KIS 2011 je veux parler des trois derniers chiffres que tu vois.

Par exemple, le mien, le dernier est 11.0.2.556. Si ta version est inférieure (exemple 11.0.x.x.400) tu dois installer la dernière version après avoir sauvegardé tes infos de licence (23 caractères).

Kaspersky Internet Security 2011

Kaspersky Lab Forum -> Kaspersky Anti-Virus / Kaspersky Internet Security

Fais ces vérifications de sécurité stp:

Apollo Et Compagnie A vérifier de temps en temps, important!

@++

phil46 · le 6 mai 2011

Phil à apollo

finit le boulot pour cette semaine

1/ version kaspersky 11 01 400 donc d'aprés toi je devrais aller rechercher la nouvelle version

kaspersky est au vert aprés deux redémarages mais ie continue de s'ouvrir sur des fenêtre pourries

**************************************************************************************************************

*******************************************

*************

Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011

Fichier d'export Registre : C:\ZHPExportRegistry-06-05-2011-16-09-28.txt

Run by PETRA at 06/05/2011 16:09:28

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========

HKCU\Software\NtWqIVLZEWZU => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} => Clé supprimée avec succès

HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========

Dossiers Flash Cookies supprimés : 63

========== Fichier(s) ==========

Fichiers Flash Cookies supprimés : 34

========== Récapitulatif ==========

4 : Clé(s) du Registre

1 : Elément(s) de donnée du Registre

1 : Dossier(s)

1 : Fichier(s)

End of the scan

Modifié le 6 mai 2011 par phil46

Apollo · le 6 mai 2011

Re,

Il vaut toujours mieux avoir la dernière version du logiciel KIS mais il faut désinfecter convenablement avant.

(penser aux infos de licence avant de désinstaller la 11xxx.400.)

Procède donc avec ZHPFix comme dit plus haut et lorsque tu auras posté le rapport du Fix, passe à ceci:

1)Télécharge TFC par OldTimer et enregistre-le sur le bureau.

Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

phil46 · le 6 mai 2011

phil à Apollo

et voilà le travail

**********************************

**************************

********************

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Version de la base de données: 6519

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

06/05/2011 17:47:17

mbam-log-2011-05-06 (17-46-57).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)

Elément(s) analysé(s): 180797

Temps écoulé: 1 heure(s), 10 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

Processus mémoire infecté(s):