[Résolu] Malware Fraud Facebook Messenger [1]

[stumy]

Salut à tous,

 

après un scan avec spybot, celui-ci a détecté un trojan du nom de "fraud.facebook.messenger".On en parle sur quelques sites et apparemment il serait assez dangereux (saisie de code bancaire etc...).

Quelqu'un en sait-il davantage sur ce trojan?

 

Merci!!!

[nardino]

Bonjour

 

Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

 

Malwarebytes Anti-Malware de RubbeR DuckY

 

Double-clique sur le fichier mbam-setup-1.60.exe (sous Vista et 7 autorise les modifications)

A la fin de l'installation, veille à ce que les options suivantes soient cochées

-Mettre à jour Malwarebytes' Anti-Malware

-Exécuter Malwarebytes' Anti-Malware

Clique sur Terminer

Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.

Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.

Le programme s'ouvre sur l'onglet Recherche.

Coche Exécuter un examen rapide, clique sur le bouton

 

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

 

Poste le rapport qui s'ouvre après cette suppression.

Redémarre le pc si cela est demandé

Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

 

ZHPDiag de Nicolas Coolman sur ton bureau.

 

 

Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.

Coche Installer une icône sur le bureau quand cela te sera proposé.

 

Lance l'icône ZHPDiag affichée sur le bureau

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis

2 : Clique sur le bouton radio Tous

3 : Clique sur L'icône Loupe pour lancer le scan

 

 

Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%. Ce message aura disparu.

 

 

Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.

Un fichier ZHPDiag.txt sera enregistré sur le bureau.

Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?

Tu me communiques le lien obtenu dans ta réponse.

Explications pour Cjoint

 

Deux tutos si nécessaire.

ZHPDiag

Cjoint

 

Si besoin est, nous ferons appel à d'autres outils.

 

@+

[stumy]

Salut et merci!!!

 

voici le lien Cjoint: Lien CJoint.com 3Gqlsko96DZ

 

et pour Malware:

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.07.15.10

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Stumy :: STUMY-PC [administrateur]

 

16/07/2012 02:11:15

mbam-log-2012-07-16 (02-11-15).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 231192

Temps écoulé: 3 minute(s), 49 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

[nardino]

Bonjour;

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

• 

Elle a été créée lors de l'installation de ZHPDiag.

Copie le contenu de l'encadré ci-dessous dans le presse-papier.

 

 
C:\ProgramData\Trymedia	
C:\Users\Stumy\AppData\Local\{0D9A01B3-0A01-4401-8DCA-02EA97968FB3} 	
C:\Users\Stumy\AppData\Local\{9A4B1394-D1E6-48ED-BE7B-263DC8903327} 	
C:\Users\Stumy\AppData\Local\{BB6572A6-174F-4E87-A9AF-E58EDE4FE8DA} 	
C:\Users\Stumy\AppData\Local\{C4E87537-3371-436C-9139-25E1B2E8666C} 	
C:\Users\Stumy\AppData\Local\{CCA0FD76-095B-4AC1-9A43-823EEDA1CD20} 	
C:\Users\Stumy\AppData\Local\{DC11E095-5396-40D5-80C0-3C4371B77E52} 	
C:\Users\Stumy\AppData\Local\{EC95BF79-7663-455F-8AF4-7C028D238960}	
O87 - FAEL: "TCP Query User{206B62D9-50E1-4A0D-BDE8-7AD29F09F67A}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O87 - FAEL: "UDP Query User{D60396BB-4D4C-417A-A62D-E64F9E8908C1}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O87 - FAEL: "TCP Query User{A2CDDDCD-1F75-4F8B-B1C6-EFE5249DB881}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O87 - FAEL: "UDP Query User{03D45385-EAC9-42CC-B163-D53373EE4C21}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1956014840-1472021529-2724391133-1001Core.job	
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1956014840-1472021529-2724391133-1001UA.job 
Emptyflash  

 

Clique sur le bouton Presse-papier encadré en rouge sur l'image.

Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

 

 

Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

 

 

TFC de OldTimer

Sous Vista et Windows 7, il faut être sous un compte administrateur

 

Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.

Clique sur l'icône en forme de poubelle et sur le bouton Start.

Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

 

Je ne suis pas persuadé que tu aies bien appliqué les consignes concernant l'établissement du rapport ZHPDiag.

Efface le rapport existant et envoie un nouveau en cliquant bien sur les points 1,2,3,4.

 

@+

[stumy]

Salut, j'ai refait le scan ZHPDiag comme indiqué, voici le lien: Lien CJoint.com 3GqqoMQ1zWA

 

Sinon, ci-dessous la rapport de ZHPFix:

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre :

Run by Stumy at 16/07/2012 13:20:33

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Valeur(s) du Registre ==========

ABSENT TCP Query User{206B62D9-50E1-4A0D-BDE8-7AD29F09F67A}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

ABSENT UDP Query User{D60396BB-4D4C-417A-A62D-E64F9E8908C1}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

ABSENT TCP Query User{A2CDDDCD-1F75-4F8B-B1C6-EFE5249DB881}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

ABSENT UDP Query User{03D45385-EAC9-42CC-B163-D53373EE4C21}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

 

========== Dossier(s) ==========

SUPPRIME Folder: c:\programdata\trymedia

SUPPRIME Folder: c:\users\stumy\appdata\local\{0d9a01b3-0a01-4401-8dca-02ea97968fb3}

SUPPRIME Folder: c:\users\stumy\appdata\local\{9a4b1394-d1e6-48ed-be7b-263dc8903327}

SUPPRIME Folder: c:\users\stumy\appdata\local\{bb6572a6-174f-4e87-a9af-e58ede4fe8da}

SUPPRIME Folder: c:\users\stumy\appdata\local\{c4e87537-3371-436c-9139-25e1b2e8666c}

SUPPRIME Folder: c:\users\stumy\appdata\local\{cca0fd76-095b-4ac1-9a43-823eeda1cd20}

SUPPRIME Folder: c:\users\stumy\appdata\local\{dc11e095-5396-40d5-80c0-3c4371b77e52}

SUPPRIME Folder: c:\users\stumy\appdata\local\{ec95bf79-7663-455f-8af4-7c028d238960}

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\tasks\facebookupdatetaskusers-1-5-21-1956014840-1472021529-2724391133-1001core.job

SUPPRIME File: c:\windows\tasks\facebookupdatetaskusers-1-5-21-1956014840-1472021529-2724391133-1001ua.job

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

4 : Valeur(s) du Registre

9 : Dossier(s)

3 : Fichier(s)

[nardino]

Bonjour,

 

Vide le cache de Chrome.

Appuie sur les touches CTRL+H et sur le bouton Effacer les données de navigation.

Choisis Effacer les données de n'importe quand

Coche :

-Effacer les données de navigation

-Effacer l'historique des téléchargements

-Vider le cache

-Supprimer les cookies et autres données de site et de plug-in

 

Spybot n'est plus d'une grande efficacité, à toi de voir si il faut le conserver ou non.

Ton antivirus intègre une protection contre les malwares.

Il peut même y avoir opposition entre les deux.

 

Relance ZHPfix avec cette liste :

 
C:\ProgramData\{24E3A4D8-9E57-4B19-9715-6E61513095D7} 
C:\ProgramData\{442B6EC3-77A0-4817-825F-67F47D7A2E54} 
C:\ProgramData\{E6F82CDB-A303-4E40-9649-E86F7A2CB482} 
Emptyflash  

 

Par sécurité, fais un scan en lignne ici : http://www.eset.eu/online-scanner

Poste les deux rapports ZHPfix et ESET

 

@+

[stumy]

Salut,

 

voici pour ZHPFix:

 

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre :

Run by Stumy at 23/07/2012 14:11:33

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Dossier(s) ==========

SUPPRIME Reboot Folder**: c:\programdata\{24e3a4d8-9e57-4b19-9715-6e61513095d7}

SUPPRIME Reboot Folder**: c:\programdata\{442b6ec3-77a0-4817-825f-67f47d7a2e54}

SUPPRIME Reboot Folder**: c:\programdata\{e6f82cdb-a303-4e40-9649-e86f7a2cb482}

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

4 : Dossier(s)

1 : Fichier(s)

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 16/07/2012 12:20:33 [2036]

C:\ZHP\ZHPFix[R2].txt - 16/07/2012 22:33:30 [942]

C:\ZHP\ZHPFix[R3].txt - 23/07/2012 14:11:33 [942]

 

 

Et maintenant ESET qui m'a trouvé 8 objets douteux:

 

 

C:\Users\Stumy\Documents\Downloads\cbaffregistrybooster.exe a variant of Win32/RegistryBooster application cleaned by deleting - quarantined

C:\Users\Stumy\Downloads\PCMAX_RN_ErrorsFix_Setup.exe a variant of Win32/RegistryNuke application cleaned by deleting - quarantined

D:\STUMY-PC\Backup Set 2010-02-23 142347\Backup Files 2010-02-23 142347\Backup files 1.zip Win32/Toggle application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-02-28 190000\Backup Files 2010-02-28 190000\Backup files 1.zip Win32/Toggle application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-03-28 190000\Backup Files 2010-03-28 190000\Backup files 1.zip Win32/Toggle application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-03-28 190000\Backup Files 2010-04-04 190000\Backup files 1.zip a variant of Win32/RegistryBooster application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-05-23 234301\Backup Files 2010-05-23 234301\Backup files 1.zip a variant of Win32/RegistryBooster application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-05-23 234301\Backup Files 2010-05-23 234301\Backup files 3.zip Win32/Toggle application deleted - quarantined

 

 

Merci à toi.

[nardino]

Bonjour,

DelFix sur ton bureau en cliquant sur Télécharger.

Il ne nécessite pas d'installation

Il va supprimer les outils utilisés pour cette désinfection.

 

Clique sur le fichier delfix.exe pour lancer l'outil

 

Clique sur le bouton Suppression puis sur le bouton Désinstallation

Copie/colle le contenu du rapport sauvegardé sous C:\DelFixSuppr.txt

 

 

**Passe la question en résolu**

Clique sur éditer dans le premier message de ce sujet et ajoute [resolu] au titre.

 

CONSEILS POUR SECURISER UN ORDINATEUR.

 

*Tenir à jour le système d'exploitation

En activant les mises à jour automatiques de Windows.

Il est possible de choisir le moment où elles seront installées.

 

*Tenir à jour la suite bureautique

Microsoft Office ou Open Office, par exemple.

 

*Tenir à jour le ou les navigateurs

Internet Explorer 9 - Mozilla Firefox - Opéra - Chrome - Safari , etc.

Faire un clic sur le navigateur pour ouvrir la page de téléchargement.

Pour Windows XP Internet Explorer version 8 est la dernière disponible. Choisir la langue du système et cliquer sur Télécharger

 

*Tenir à jour les programmes antivirus et antimalwares

En activant les mises à jour automatique ou en lançant régulièrement une recherche pour les logiciels comme Malwarebytes en version gratuite.

 

*Java Runtime Environment

Ouvre cette page

En bas dans Java SE Update 32, clique sur JRE > Download à droite.

Coche Accept License Agreement dans la nouvelle page.

Clique sur Windows x86 Offline - 16.2 MB -jre-6u32-windows-i586.exe

Installe le fichier téléchargé.

Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).

Désinstalle toutes les autres versions existantes sur ton pc dans Ajout/Suppression des programmes ou Programmes et fonctionnalités selon le système.

Si tu ne modifies pas les paramètres, les nouvelles versions te seront proposées au téléchargement automatiquement.

Il existe une version pour les programmes 64bits du système.

 

*Acrobat Reader X

Ouvre cette page

Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.2

Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)

Clique sur Télécharger dès maintenant

L'installation se fera automatiquement en cliquant sur le fichier obtenu :

install_reader10_fr_mssd_aih.exe

 

*Adobe Flash Player+

Ouvre cette page

Décoche Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)

Clique sur Télécharger dès maintenant

L'installation se fera automatiquement en cliquant sur le fichier obtenu :

install_flashplayer11x64_mssa_aih.exe

 

*Un travail collectif à lire attentivement pour une bonne sensibilisation aux problèmes posés sur Internet.

Prévention et sécurité

 

*Les comportements à risque

Les dangers du P2P

Le P2P et ses conséquences

Le danger des cracks

Le danger des cracks

 

*Les programmes d'optimisation et nettoyeurs de registre

Article de Mikiemoes

Article de Stephane Ruscher

Article de Malekal

Généralités

Microsoft

Témoignage 1

Témoignage 2

Et bien d'autres en cherchant sur Internet.

 

*Les programmes d'installation et les "sponsors"

Il n'est pas nécessaire à de rares exceptions près d'installer les sponsors avec un logiciel gratuit, d'essai ou commercial.

Dans la grande majorité où l'installation est pré-cochée, il suffit de décocher et pour cela de bien lire toutes les pages qui se succédent lors de l'installation.

Lire le CLUF (Contrat de licence à l'utilisateur final) est hautement conseillé afin d'éviter certains désagréments.

Exemple de CLUF

Liste des programmes et de leurs sponsors

 

*Nettoyage des caches des navigateurs

Quand la navigation commence à rencontrer des difficultés, le premier réflexe est de nettoyer le cache du navigateur.

Voici une page qui recense toutes les solutions en fonction de chacun d'entre eux.

Comment vider le cache de votre navigateur

 

 

@+

[stumy]

Salut,

 

voici le rapport:

 

 

# DelFix v8.8 - Rapport créé le 24/07/2012 à 12:20:40

# Mis à jour le 12/02/12 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Stumy - STUMY-PC (Administrateur)

# Exécuté depuis : C:\Users\Stumy\Downloads\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

Supprimé : C:\Program Files (x86)\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[R8].txt

Supprimé : C:\AdwCleaner[s5].txt

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\Users\Stumy\Desktop\adwcleaner.exe

Supprimé : C:\Users\Stumy\Desktop\ZHPFixReport.txt

Supprimé : C:\Users\Stumy\Downloads\esetsmartinstaller_enu (3).exe

Supprimé : C:\Users\Stumy\Downloads\pbaddsou.doc

Supprimé : C:\Users\Stumy\Downloads\RogueKiller.exe

Supprimé : C:\Users\Stumy\Downloads\TFC.exe

Supprimé : C:\Users\Stumy\Downloads\ZHPDiag2 (1).exe

Supprimé : C:\Users\Stumy\Downloads\ZHPDiag2.exe

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

 

~~~~~~ Autres ~~~~~~

 

Désinstallé : ESET Online Scanner

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1553 octets] - [24/07/2012 12:20:40]

 

########## EOF - C:\DelFix[s1].txt - [1677 octets] ##########

 

 

 

Merci pour tout!!