Une victime de FreeZEfrogsa de plus!

[valik]

Bonsoir, j'ai remarqué des choses inhabituelles sur mon ordinateur comme certains ralentissements ainsi que l'apparition de pop-up intempestifs venant d'IE (alors que j'utilise Mozilla Firefox). Cela m'a alerté et j'ai découvert un programme en exécution apparemment bien connu ici "freezefrogsa.exe". Comme la plupart des membres ici, je l'ai attrapé en pensant télécharger un plugin VLC.
Pour info, le malware s'est installé par le fichier CrazySetup.exe (pour ceux qui me lisent, ne l'exécutez pas!) venant de l'adresse fivemillionfriends.com
J'ai fait quelques démarches comme passer un coup de malwarebytes, de rsit, de ad-remover et un diagnostic avec ZHPDiag, je vous joints les fichiers txt.
Merci d'avance pour votre aide (très espérée!)
-----

[valik]

Il semblerait que le virus ne se manifeste plus, mais je voudrais quand même savoir s'il a été entièrement retiré.
Merci.

[chantal11]

Bonjour,

Décidément, c'est une épidémie

---------------------------------------------------------------------------------------------

Recommandations pendant la désinfection :

• n'utilise ton PC que pour un strict minimum et surtout n'installe aucun autre programme (hormis les outils indiqués)
• suis bien les instructions dans l'ordre où elles sont indiquées et n'utilise aucun outil de désinfection de ta propre initiative
• signale si tu as ouvert le même sujet dans un autre forum, cela peut s'avérer fort dangereux pour ton système
• un blocage est toujours possible pendant la procédure de désinfection, sauvegarde toutes tes données personnelles auparavant ou dès que c'est possible
• que les symptômes ne se manifestent plus ne veut pas dire que le système est propre, il faut donc aller jusqu'au bout de la désinfection

----------------------------------------------------------------------------------------------

Spybot est obsolète de nos jours.
Il serait préférable que tu le désinstalles et que tu le remplaces par des scans réguliers avec Malwarebytes.

Désactive TeaTimer de Spybot Search & Destroy :

• Ferme tes navigateurs
• Lance Spybot et clique sur Mode, puis coche Mode Avancé
• Clique sur Outils, puis sur Résident
• Décoche la case Résident "TeaTimer"
• Dans l'onglet Vaccination, clique sur Vaccination, puis sur Annuler
• Referme Spybot

---------------------------------------------------------------------------------------------

Désinstalle via Programmes et fonctionnalités (si présents) :

• Spybot
• FREEzeFrog
• YouTube Downloader Toolbar

---------------------------------------------------------------------------------------------

AdwCleaner - Recherche :

• Télécharge AdwCleaner de Xplode et enregistre-le sur ton Bureau
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner[R].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner[R].txt

---------------------------------------------------------------------------------------------

Est attendu le rapport :

• AdwCleaner[R].txt

@+

[valik]

Ah oui, en effet, c'est une vraie épidémie! C'est dingue, je suis pourtant très attentif aux éventuels virus qui pourraient entrer sur mon ordinateur (comme quoi, ça n'arrive jamais qu'aux autres )
Voici le rapport demandé :

[A voir en vidéo sur Futura]

[chantal11]

Re,

AdwCleaner - Suppression :

• Ferme toutes les applications, y compris ton navigateur
• Relance AdwCleaner par un double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner[S].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner[S].txt

---------------------------------------------------------------------------------------------

Désinstalle via Programmes et fonctionnalités :

• TeamSpeak 2 RC2
• Winamp Desk Band
• Winamp Toolbar

---------------------------------------------------------------------------------------------

ZHPFix :

• Copie toutes les lignes ci-dessous
  
  Code:

  SysRestore
  M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com
  M2 - MFEP: prefs.js [valik - 5ql59wwk.default\NPDyyno@dyyno.com] [] Simple Dyyno Launcher v1.0.0.24 (.Giuliano Masseroni.)
  R3 - URLSearchHook: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) (4, 5, 0, 2) -- C:\Program Files\YouTube Downloader Toolbar\IE\4.5\youtubedownloaderToolbarIE.dll
  O2 - BHO: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\YouTube Downloader Toolbar\IE\4.5\youtubedownloaderToolbarIE.dll
  O2 - BHO: ???????@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} Clé orpheline
  O3 - Toolbar: YouTube Downloader Toolbar - {F3FEE66E-E034-436a-86E4-9690573BEE8A} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\YouTube Downloader Toolbar\IE\4.5\youtubedownloaderToolbarIE.dll
  O4 - HKCU\..\Run: [PlayNC Launcher] Clé orpheline
  O4 - HKUS\S-1-5-21-239853656-2019369113-3741342159-1000\..\Run: [PlayNC Launcher] Clé orpheline
  O4 - Global Startup: C:\Users\valik\Desktop\Ordinateur.lnk - Clé orpheline
  [MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSA.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{66BA574B-1E11-49b8-909C-8CC9E0E8E015}] (...) -- C:\Users\valik\AppData\Local\Temp\c.exe (.not file.)
  [HKLM\Software\CrazyLoader]
  [HKLM\Software\FREEzeFrog]
  O43 - CFD: 07/08/2011 - 21:18:00 - [0] ----D- C:\Program Files\FREEzeFrog
  O43 - CFD: 07/08/2011 - 21:18:02 - [0] ----D- C:\Users\valik\AppData\Roaming\FREEzeFrog
  O43 - CFD: 11/11/2009 - 19:12:28 - [1508817] ----D- C:\Program Files\ICQ6Toolbar
  O43 - CFD: 30/11/2008 - 01:14:02 - [7804465] ----D- C:\Program Files\Teamspeak2_RC2
  O44 - LFC:[MD5.DBE85956C0C0B4F3A46179B2AFD0C42B] - 11/08/2011 - 20:54:20 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [6794]
  O44 - LFC:[MD5.A636E59DA7BB43E78E05CB68796C33BA] - 11/08/2011 - 20:51:18 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt   [6471]
  O51 - MPSK:{307d46b9-4322-11e0-a620-001e68e0e138}\AutoRun\command. (...) -- G:\Startme.exe (.not file.)
  O51 - MPSK:{5a274a47-d1ef-11dd-a2e8-000df05cab41}\AutoRun\command. (...) -- C:\Windows\system32\cmd \C launch.bat (.not file.)
  O53 - SMSR:HKLM\...\startupreg\Turbine Download Manager Tray Icon  [Key] . (...) -- C:\Program Files\Turbine\Turbine Download Manager\TurbineDownloadManagerIcon.exe (.not file.)
  [HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F3FEE66E-E034-436a-86E4-9690573BEE8A}]
  [HKLM\Software\Classes\CLSID\{F3FEE66E-E034-436a-86E4-9690573BEE8A}]
  [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F3FEE66E-E034-436a-86E4-9690573BEE8A}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F3FEE66E-E034-436a-86E4-9690573BEE8A}]
  [HKCU\Software\Winamp Toolbar]
  C:\Program Files\FREEzeFrog
  C:\Users\valik\AppData\Roaming\FREEzeFrog
  EmptyTemp
  EmptyFlash
  FirewallRaz

• Ferme toutes les applications ouvertes
  
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Clique sur H
  Les lignes copiées apparaissent directement dans le cadre blanc (si ce n'est pas le cas clic-droit -> Coller)
  
• Clique sur GO
  
• Valide par Oui la désinstallation des programmes si demandé, mais refuse le redémarrage du PC, si proposé à ce moment là (cela stopperait l'action du fix)
  
• Laisse l'outil travailler. Si un redémarrage est demandé, cette fois-ci tu valides et tu redémarres le PC
  
• Le rapport s'affiche. Poste le rapport ZHPFixReport.txt, enregistré sur ton Bureau, en pièce jointe dans ta prochaine réponse.

---------------------------------------------------------------------------------------------

Installe les dernières versions Java et Adobe Flash Player :

• Télécharge et installe cette dernière version Java
  
  
• Télécharge et installe cette dernière version :
  Adobe Flash Player
  Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)

---------------------------------------------------------------------------------------------

Mets à jour ta version Avast :

La dernière version est la 6. Télécharge et installe cette dernière version :
avast!

---------------------------------------------------------------------------------------------

Mets à jour Firefox :

La dernière version est la 6. Télécharge et installe cette dernière version :
Firefox 6

---------------------------------------------------------------------------------------------

Mise à jour de Vista et Internet Explorer :

Dans Panneau de configuration -> Windows Update, lance des recherches de mises à jour et installe toutes les mises à jour qui te sont proposées. Renouvelle l'opération jusqu'à ce que te soit proposé SP1 puis SP2 et jusqu'à ce que Windows soit à jour.
Installe les mises à jour Internet Explorer qui te sont proposées, jusqu'à ce que soit installé IE9.

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• AdwCleaner[S].txt
• ZHPFixReport.txt

Comment se comporte le système ?

@+

[valik]

Après avoir passé un coup d'AdwCleaner et désinstallé 3 programmes, je reçois un message d'erreur pendant le processus de ZHPFix qui dit "Violation d'accès à l'adresse 77875FCE dans le module 'kernel32.dll'. Lecture de l'adresse 00100043."
Impossible de continuer (j'ai pourtant bien exécuté le programme en tant qu'administrateur) !
Je vous joints le .txt d'adwcleaner :

[chantal11]

Bonjour,

Désinstalle la version ZHPDiag via Programmes et fonctionnalités et télécharge cette dernière version :
http://www.moncompteur.com/compteurc...p?idLink=18026

• Décompresse le fichier ZHPDiag2.zip par clic-droit -> Extraire tout
  
• Double-clique sur ZHPDiag2.exe pour lancer l'installation
• /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau

Puis tu reprends la procédure ZHPFix.

@+

[valik]

Merci, tout semble être rentré dans l'ordre, j'ai pu finaliser le processus de ZHPFix.
J'ai ensuite appliqué le reste des procédures, le système semblait bien se comporter jusqu'à... la mise à jour du pack SP2. J'ai un petit soft qui ne se lance pas correctement (LaCie USB Boost, qui me demande de débrancher/rebrancher mon disque dur externe, mais rien), j'imagine que ce n'est pas le seul bug que je rencontrerai suite à cette mise à jour. A part ce petit détail, je n'ai rien remarqué de spécial.
Je vous joints les deux rapports demandés.
Merci beaucoup pour cette procédure de désinfection!

[chantal11]

Bonjour,

Pour ton souci avec LaCie USB Boost, surveille Windows Update, notamment dans les mises à jour facultatives, pour une mise à jour de ce périphérique, sinon directement sur le site de l'éditeur.

Nous allons donc finaliser la désinfection.

---------------------------------------------------------------------------------------------

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

Relance Ad-Remover et clique sur Désinstaller
Relance AdwCleaner et clique sur Désinstaller

---------------------------------------------------------------------------------------------

Désinstallation des outils avec ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur A
• Clique sur Tous puis sur Nettoyer
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Supprime les différents rapports des outils

---------------------------------------------------------------------------------------------

Réactive l'UAC via le Panneau de configuration -> Comptes Utilisateurs

---------------------------------------------------------------------------------------------

Supprimer tous les anciens points de restauration et créer un nouveau point propre sous Vista :

• Dans Panneau de configuration -> Système-> Protection du système (volet de gauche)
• Dans l’onglet Protection du système, décoche le disque C dans la fenêtre disques disponibles.
  Immédiatement un message d’alerte s’affiche, notifiant que tous les points de restauration vont être supprimés
• Clique sur Désactiver la restauration du système, puis sur Appliquer dans l’onglet Protection du système.
  Le disque C affiche « aucun point ».
• Coche de nouveau le disque C et clique sur Appliquer pour réactiver la protection du système.
  La restauration du système est de nouveau fonctionnelle.
• Clique sur Créer pour créer un nouveau point de restauration
• Tape Après désinfection comme description, puis clique sur Créer
• Un message de réussite doit apparaître
• Clique sur OK et referme la Protection du système.

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi êtes vous infectés ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur.
  
  /!\ Change tous les mots de passe enregistrés sur ton système
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  • Il faut l'installer Flash Player sous chaque navigateur présent sur le système
  • Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  
  
• Au niveau de Firefox, tu peux sécuriser ta navigation avec ces 3 extensions :
  
  • NoScript -> https://addons.mozilla.org/fr/firefox/addon/722/
  • Adblock Plus -> https://addons.mozilla.org/fr/firefox/addon/1865/
  • WOT -> https://addons.mozilla.org/fr/firefox/addon/3456/
    Avec WOT, tu es immédiatement alerté par les ronds rouges qui apparaissent sur la page des résultats de recherche Google,et signalent ainsi un site potentiellement dangereux.
  
  
• Le P2P est un vecteur d'infections. Si les logiciels P2P installés sur ton PC sont sains, les fichiers téléchargés sont pour la plupart infectés.
  • Les risques sécuritaires du peer-to-peer en 10 points : Le P2P vu par Ogu
  • Pourquoi éviter le P2P ? Point législatif et dangers

N'hésite pas si tu as des questions.

@+

[valik]

Tout semble être rentré dans l'ordre!
Merci beaucoup, encore une fois, pour m'avoir accordé un peu de votre temps ainsi que pour les quelques conseils!