Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Malware Fraud Facebook Messenger [1]


stumy
 Share

Messages recommandés

Salut à tous,

 

après un scan avec spybot, celui-ci a détecté un trojan du nom de "fraud.facebook.messenger".On en parle sur quelques sites et apparemment il serait assez dangereux (saisie de code bancaire etc...).

Quelqu'un en sait-il davantage sur ce trojan?

 

Merci!!!

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

 

Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

 

icone_10.png Malwarebytes Anti-Malware de RubbeR DuckY

 

arrow210.gif Double-clique sur le fichier mbam-setup-1.60.exe (sous Vista et 7 autorise les modifications)

A la fin de l'installation, veille à ce que les options suivantes soient cochées

-Mettre à jour Malwarebytes' Anti-Malware

-Exécuter Malwarebytes' Anti-Malware

arrow210.gif Clique sur Terminer

Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.

Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.

Le programme s'ouvre sur l'onglet Recherche.

Coche casev10.jpgExécuter un examen rapide, clique sur le bouton recher10.jpg

 

arrow210.gif A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

 

arrow210.gifPoste le rapport qui s'ouvre après cette suppression.

Redémarre le pc si cela est demandé

Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

 

icone_10.pngZHPDiag de Nicolas Coolman sur ton bureau.

 

 

arrow210.gif Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.

Coche Installer une icône sur le bureau quand cela te sera proposé.

 

arrow210.gif Lance l'icône ZHPDiag affichée sur le bureau

zhpdia11.jpg

arrow210.gif Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

zhpdia11.jpg

arrow210.gif Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis

2 : Clique sur le bouton radio Tous

3 : Clique sur L'icône Loupe pour lancer le scan

 

zhpdia13.png

 

Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%. Ce message aura disparu.

 

zhpdia12.png

 

arrow210.gif Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.

Un fichier ZHPDiag.txt sera enregistré sur le bureau.

zhpdia16.jpg

arrow210.gif Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?

Tu me communiques le lien obtenu dans ta réponse.

Explications pour Cjoint

 

Deux tutos si nécessaire.

ZHPDiag

Cjoint

 

Si besoin est, nous ferons appel à d'autres outils.

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Salut et merci!!!

 

voici le lien Cjoint: Lien CJoint.com 3Gqlsko96DZ

 

et pour Malware:

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.07.15.10

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Stumy :: STUMY-PC [administrateur]

 

16/07/2012 02:11:15

mbam-log-2012-07-16 (02-11-15).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 231192

Temps écoulé: 3 minute(s), 49 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour;

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

  • zhpfix12.png

Elle a été créée lors de l'installation de ZHPDiag.

arrow210.gif Copie le contenu de l'encadré ci-dessous dans le presse-papier.

 

 
C:\ProgramData\Trymedia	
C:\Users\Stumy\AppData\Local\{0D9A01B3-0A01-4401-8DCA-02EA97968FB3} 	
C:\Users\Stumy\AppData\Local\{9A4B1394-D1E6-48ED-BE7B-263DC8903327} 	
C:\Users\Stumy\AppData\Local\{BB6572A6-174F-4E87-A9AF-E58EDE4FE8DA} 	
C:\Users\Stumy\AppData\Local\{C4E87537-3371-436C-9139-25E1B2E8666C} 	
C:\Users\Stumy\AppData\Local\{CCA0FD76-095B-4AC1-9A43-823EEDA1CD20} 	
C:\Users\Stumy\AppData\Local\{DC11E095-5396-40D5-80C0-3C4371B77E52} 	
C:\Users\Stumy\AppData\Local\{EC95BF79-7663-455F-8AF4-7C028D238960}	
O87 - FAEL: "TCP Query User{206B62D9-50E1-4A0D-BDE8-7AD29F09F67A}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O87 - FAEL: "UDP Query User{D60396BB-4D4C-417A-A62D-E64F9E8908C1}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O87 - FAEL: "TCP Query User{A2CDDDCD-1F75-4F8B-B1C6-EFE5249DB881}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O87 - FAEL: "UDP Query User{03D45385-EAC9-42CC-B163-D53373EE4C21}C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\stumy\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)	
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1956014840-1472021529-2724391133-1001Core.job	
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1956014840-1472021529-2724391133-1001UA.job 
Emptyflash  

 

arrow210.gif Clique sur le bouton Presse-papier encadré en rouge sur l'image.

Les lignes contenues dans le presse-papier vont s'afficher.

arrow210.gif Clique sur le bouton GO en bas à gauche.

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

 

zhpfix13.png

 

arrow210.gif Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

 

zhpfix11.png

 

icone_10.png TFC de OldTimer

Sous Vista et Windows 7, il faut être sous un compte administrateur

 

icon_e10.gif Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.

arrow210.gif Clique sur l'icône en forme de poubelle et sur le bouton Start.

Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

 

Je ne suis pas persuadé que tu aies bien appliqué les consignes concernant l'établissement du rapport ZHPDiag.

Efface le rapport existant et envoie un nouveau en cliquant bien sur les points 1,2,3,4.

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Salut, j'ai refait le scan ZHPDiag comme indiqué, voici le lien: Lien CJoint.com 3GqqoMQ1zWA

 

Sinon, ci-dessous la rapport de ZHPFix:

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre :

Run by Stumy at 16/07/2012 13:20:33

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Valeur(s) du Registre ==========

ABSENT TCP Query User{206B62D9-50E1-4A0D-BDE8-7AD29F09F67A}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

ABSENT UDP Query User{D60396BB-4D4C-417A-A62D-E64F9E8908C1}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

ABSENT TCP Query User{A2CDDDCD-1F75-4F8B-B1C6-EFE5249DB881}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

ABSENT UDP Query User{03D45385-EAC9-42CC-B163-D53373EE4C21}C:/users/stumy/appdata/roaming/cacaoweb/cacaoweb.exe

 

========== Dossier(s) ==========

SUPPRIME Folder: c:\programdata\trymedia

SUPPRIME Folder: c:\users\stumy\appdata\local\{0d9a01b3-0a01-4401-8dca-02ea97968fb3}

SUPPRIME Folder: c:\users\stumy\appdata\local\{9a4b1394-d1e6-48ed-be7b-263dc8903327}

SUPPRIME Folder: c:\users\stumy\appdata\local\{bb6572a6-174f-4e87-a9af-e58ede4fe8da}

SUPPRIME Folder: c:\users\stumy\appdata\local\{c4e87537-3371-436c-9139-25e1b2e8666c}

SUPPRIME Folder: c:\users\stumy\appdata\local\{cca0fd76-095b-4ac1-9a43-823eeda1cd20}

SUPPRIME Folder: c:\users\stumy\appdata\local\{dc11e095-5396-40d5-80c0-3c4371b77e52}

SUPPRIME Folder: c:\users\stumy\appdata\local\{ec95bf79-7663-455f-8af4-7c028d238960}

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\tasks\facebookupdatetaskusers-1-5-21-1956014840-1472021529-2724391133-1001core.job

SUPPRIME File: c:\windows\tasks\facebookupdatetaskusers-1-5-21-1956014840-1472021529-2724391133-1001ua.job

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

4 : Valeur(s) du Registre

9 : Dossier(s)

3 : Fichier(s)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Vide le cache de Chrome.

Appuie sur les touches CTRL+H et sur le bouton Effacer les données de navigation.

Choisis Effacer les données de n'importe quand

Coche :

-Effacer les données de navigation

-Effacer l'historique des téléchargements

-Vider le cache

-Supprimer les cookies et autres données de site et de plug-in

 

Spybot n'est plus d'une grande efficacité, à toi de voir si il faut le conserver ou non.

Ton antivirus intègre une protection contre les malwares.

Il peut même y avoir opposition entre les deux.

 

Relance ZHPfix avec cette liste :

 
C:\ProgramData\{24E3A4D8-9E57-4B19-9715-6E61513095D7} 
C:\ProgramData\{442B6EC3-77A0-4817-825F-67F47D7A2E54} 
C:\ProgramData\{E6F82CDB-A303-4E40-9649-E86F7A2CB482} 
Emptyflash  

 

Par sécurité, fais un scan en lignne ici : http://www.eset.eu/online-scanner

Poste les deux rapports ZHPfix et ESET

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

voici pour ZHPFix:

 

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre :

Run by Stumy at 23/07/2012 14:11:33

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Dossier(s) ==========

SUPPRIME Reboot Folder**: c:\programdata\{24e3a4d8-9e57-4b19-9715-6e61513095d7}

SUPPRIME Reboot Folder**: c:\programdata\{442b6ec3-77a0-4817-825f-67f47d7a2e54}

SUPPRIME Reboot Folder**: c:\programdata\{e6f82cdb-a303-4e40-9649-e86f7a2cb482}

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

4 : Dossier(s)

1 : Fichier(s)

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 16/07/2012 12:20:33 [2036]

C:\ZHP\ZHPFix[R2].txt - 16/07/2012 22:33:30 [942]

C:\ZHP\ZHPFix[R3].txt - 23/07/2012 14:11:33 [942]

 

 

Et maintenant ESET qui m'a trouvé 8 objets douteux:

 

 

C:\Users\Stumy\Documents\Downloads\cbaffregistrybooster.exe a variant of Win32/RegistryBooster application cleaned by deleting - quarantined

C:\Users\Stumy\Downloads\PCMAX_RN_ErrorsFix_Setup.exe a variant of Win32/RegistryNuke application cleaned by deleting - quarantined

D:\STUMY-PC\Backup Set 2010-02-23 142347\Backup Files 2010-02-23 142347\Backup files 1.zip Win32/Toggle application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-02-28 190000\Backup Files 2010-02-28 190000\Backup files 1.zip Win32/Toggle application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-03-28 190000\Backup Files 2010-03-28 190000\Backup files 1.zip Win32/Toggle application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-03-28 190000\Backup Files 2010-04-04 190000\Backup files 1.zip a variant of Win32/RegistryBooster application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-05-23 234301\Backup Files 2010-05-23 234301\Backup files 1.zip a variant of Win32/RegistryBooster application deleted - quarantined

D:\STUMY-PC\Backup Set 2010-05-23 234301\Backup Files 2010-05-23 234301\Backup files 3.zip Win32/Toggle application deleted - quarantined

 

 

Merci à toi.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

icone_10.png DelFix sur ton bureau en cliquant sur Télécharger.

Il ne nécessite pas d'installation

Il va supprimer les outils utilisés pour cette désinfection.

 

arrow210.gif Clique sur le fichier delfix.exe pour lancer l'outil

 

arrow210.gif Clique sur le bouton Suppression puis sur le bouton Désinstallation

Copie/colle le contenu du rapport sauvegardé sous C:\DelFixSuppr.txt

 

delfix10.png

 

**Passe la question en résolu**

Clique sur éditer dans le premier message de ce sujet et ajoute [resolu] au titre.

 

CONSEILS POUR SECURISER UN ORDINATEUR.

 

*Tenir à jour le système d'exploitation

En activant les mises à jour automatiques de Windows.

Il est possible de choisir le moment où elles seront installées.

 

*Tenir à jour la suite bureautique

Microsoft Office ou Open Office, par exemple.

 

*Tenir à jour le ou les navigateurs

Internet Explorer 9 - Mozilla Firefox - Opéra - Chrome - Safari , etc.

Faire un clic sur le navigateur pour ouvrir la page de téléchargement.

Pour Windows XP Internet Explorer version 8 est la dernière disponible. Choisir la langue du système et cliquer sur Télécharger

 

*Tenir à jour les programmes antivirus et antimalwares

En activant les mises à jour automatique ou en lançant régulièrement une recherche pour les logiciels comme Malwarebytes en version gratuite.

 

*Java Runtime Environment

arrow210.gifOuvre cette page

En bas dans Java SE Update 32, clique sur JRE > Download à droite.

Coche Accept License Agreement dans la nouvelle page.

Clique sur Windows x86 Offline - 16.2 MB -115899.gifjre-6u32-windows-i586.exe

Installe le fichier téléchargé.

Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).

Désinstalle toutes les autres versions existantes sur ton pc dans Ajout/Suppression des programmes ou Programmes et fonctionnalités selon le système.

Si tu ne modifies pas les paramètres, les nouvelles versions te seront proposées au téléchargement automatiquement.

Il existe une version pour les programmes 64bits du système.

 

*Acrobat Reader X

arrow210.gif Ouvre cette page

Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.2

Décoche casev10.jpgOui, installer McAfee Security Scan Plus (facultatif) (0.98MO)

Clique sur downlo10.gifTélécharger dès maintenant

L'installation se fera automatiquement en cliquant sur le fichier obtenu :

install_reader10_fr_mssd_aih.exe

 

*Adobe Flash Player+

arrow210.gif Ouvre cette page

Décoche casev10.jpgOui, installer McAfee Security Scan Plus (facultatif) (0.98MO)

Clique sur downlo10.gifTélécharger dès maintenant

L'installation se fera automatiquement en cliquant sur le fichier obtenu :

install_flashplayer11x64_mssa_aih.exe

 

*Un travail collectif à lire attentivement pour une bonne sensibilisation aux problèmes posés sur Internet.

arrow210.gifPrévention et sécurité

 

*Les comportements à risque

Les dangers du P2P

Le P2P et ses conséquences

Le danger des cracks

Le danger des cracks

 

*Les programmes d'optimisation et nettoyeurs de registre

Article de Mikiemoes

Article de Stephane Ruscher

Article de Malekal

Généralités

Microsoft

Témoignage 1

Témoignage 2

Et bien d'autres en cherchant sur Internet.

 

*Les programmes d'installation et les "sponsors"

Il n'est pas nécessaire à de rares exceptions près d'installer les sponsors avec un logiciel gratuit, d'essai ou commercial.

Dans la grande majorité où l'installation est pré-cochée, il suffit de décocher et pour cela de bien lire toutes les pages qui se succédent lors de l'installation.

Lire le CLUF (Contrat de licence à l'utilisateur final) est hautement conseillé afin d'éviter certains désagréments.

Exemple de CLUF

Liste des programmes et de leurs sponsors

 

*Nettoyage des caches des navigateurs

Quand la navigation commence à rencontrer des difficultés, le premier réflexe est de nettoyer le cache du navigateur.

Voici une page qui recense toutes les solutions en fonction de chacun d'entre eux.

Comment vider le cache de votre navigateur

 

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

voici le rapport:

 

 

# DelFix v8.8 - Rapport créé le 24/07/2012 à 12:20:40

# Mis à jour le 12/02/12 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Stumy - STUMY-PC (Administrateur)

# Exécuté depuis : C:\Users\Stumy\Downloads\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

Supprimé : C:\Program Files (x86)\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[R8].txt

Supprimé : C:\AdwCleaner[s5].txt

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\Users\Stumy\Desktop\adwcleaner.exe

Supprimé : C:\Users\Stumy\Desktop\ZHPFixReport.txt

Supprimé : C:\Users\Stumy\Downloads\esetsmartinstaller_enu (3).exe

Supprimé : C:\Users\Stumy\Downloads\pbaddsou.doc

Supprimé : C:\Users\Stumy\Downloads\RogueKiller.exe

Supprimé : C:\Users\Stumy\Downloads\TFC.exe

Supprimé : C:\Users\Stumy\Downloads\ZHPDiag2 (1).exe

Supprimé : C:\Users\Stumy\Downloads\ZHPDiag2.exe

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

 

~~~~~~ Autres ~~~~~~

 

Désinstallé : ESET Online Scanner

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1553 octets] - [24/07/2012 12:20:40]

 

########## EOF - C:\DelFix[s1].txt - [1677 octets] ##########

 

 

 

Merci pour tout!!

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...