Sujet Précédent Sujet Suivant

éliminez freezefrogsa.exe

Fermé
kristana - 16 oct. 2011 à 22:07
 kristana - 20 oct. 2011 à 11:01
Bonjour,
Hier j'ai vu dans mes programmes de démarrage la grenouille gelée.exe.
J'ai compris qu'il s'agissait d'un virus
J'ai téléchargé malwarebytes anti malware
Il a fait un scan, a trouvé tout de suite le problème et apparemment il a supprimé tout ce qu'il fallait
j'envoie à tout hasard mon rapport si un petit oeil expert pouvait me dire si tout va bien je serais prête à lui offrir un pot de confiture de mes oeuvres!

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7961

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/10/2011 21:50:16
mbam-log-2011-10-16 (21-50-16).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 221889
Temps écoulé: 27 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
c:\program files\freezefrog\bin\2.0.13.0\freezefrogsa.exe (Adware.FreezeFrog) -> 1896 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\program files\freezefrog\bin\2.0.13.0\freezefrogsahook.dll (Adware.FreezeFrog) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\FREEzeFrogAx.Info (Adware.FreezeFrog) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\FREEzeFrogAx.Info.1 (Adware.FreezeFrog) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FREEZEFROGSA (Adware.FreezeFrog) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FREEzeFrogSA (Adware.FreezeFrog) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\freezefrogsa\actionurl_current_version (Adware.FreezeFrog) -> Value: actionurl_current_version -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FREEzeFrogSA (Adware.FreezeFrog) -> Value: FREEzeFrogSA -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\all users\application data\freezefrogsa (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\program files\freezefrog\bin\2.0.13.0 (Adware.FreezeFrog) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\system volume information\_restore{4510ebdb-31d7-4b3c-a24f-6ce577ebf583}\RP485\A0151329.dll (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\program files\freezefrog\bin\2.0.13.0\freezefrogsa.exe (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\freezefrogsa\freezefrogsa.dat (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\freezefrogsa\freezefrogsaabout.mht (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\freezefrogsa\freezefrogsaau.dat (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\freezefrogsa\freezefrogsaeula.mht (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\freezefrogsa\freezefrogsa_kyf.dat (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\program files\freezefrog\bin\2.0.13.0\copyright.txt (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\program files\freezefrog\bin\2.0.13.0\freezefrogsacb.exe (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\program files\freezefrog\bin\2.0.13.0\freezefrogsahook.dll (Adware.FreezeFrog) -> Quarantined and deleted successfully.
c:\program files\freezefrog\bin\2.0.13.0\freezefroguninstaller.exe (Adware.FreezeFrog) -> Quarantined and deleted successfully.
D'avance merci

1 réponse

Réponse 1 / 1
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
16 oct. 2011 à 22:22
bonjour, malwarebytes à bien nettoyer ce qu'il y avait concernant freezefrogsa.exe, mais pour voire si rien d'autre sur le pc comme saloperie, postes un diagnostique avec un zhpdiag , merci

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/
1
kristana
17 oct. 2011 à 10:46
Merci Jacques
Pour l'instant j'ai téléchargé et enregistré ZHPdiag, il y a une autre icône qui s'appelle ZHPfix avec une piqure. Une idée à quoi elle sert? To fix en anglais ça veut dire réparer.
bon dans l'immédiat j'essaie de faire ce que vous m'avez dit; j'y crois!!!
Merci pour ce petite accompagnement dans la jungle effrayante des points exe et php et compagnie. Merci qui?
c'est bien de savoir qu'on peut être épaulée comme ça par des non experts des experts!
0
kristana
17 oct. 2011 à 10:53
je ne sais pas si j'ai bien fait mais voici un lien
http://www.cijoint.fr/cjlink.php?file=cj201110/cijhODDJtI.txt
il a l'air de ressembler à ce que vous m'avez dit!!!!
0
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
Modifié par jacques.gache le 20/10/2011 à 21:42
bonjour, zhpfix est un outil intégré avec zhpdiag nous l'utilisons pour supprimer certaine chose que nous trouvons comme néfaste dans le rapport de zhpdiag !!

et la tu va pouvoir l'utiliser , et puis tu fais ce qui suit , merci

1) fais zhpfix comme expliqué

. Copie les lignes suivantes en GRAS entre les deux lignes


__________________________________________________________



[MD5.6E79C2721FE13A134508CB51EC279482] - (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\Search Settings\SearchSettings.exe [970240] [PID.1340]
M2 - MFEP: prefs.js [utilisateur - dozax9m0.default\@FissaPlugin] [] Fissa v1.0 (.Secure Digital Services.)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) (1, 2, 1, 2) -- C:\Program Files\Search Settings\kb128\SearchSettings.dll
O2 - BHO: Interest recogniser for Widestream6 (powered by Spointer) - {2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9} . (.Widestream6 - Interest Recognizer for Widestream6.) -- C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Spigot, Inc. - Search Settings IE.) -- C:\Program Files\Search Settings\kb128\SearchSettings.dll
O4 - HKLM\..\Run: [SearchSettings] . (.Spigot, Inc. - Search Settings application.) -- C:\Program Files\Search Settings\SearchSettings.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1214440339-1897051121-725345543-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O42 - Logiciel: Search Settings 1.2.1 - (.Spigot, Inc..) [HKLM] -- {0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
[HKCU\Software\FREEzeFrog]
[HKCU\Software\FissaSearch]
[HKCU\Software\OfferBox]
[HKCU\Software\Search Settings]
[HKCU\Software\Spointer]
[HKCU\Software\WideStream]
[HKLM\Software\FREEzeFrog]
[HKLM\Software\Search Settings]
[HKLM\Software\widestream]
[HKLM\Software\BrowserChoice]
O43 - CFD: 05/01/2011 - 21:16:40 - [93511] ----D- C:\Program Files\Babylon
O43 - CFD: 23/07/2011 - 13:36:58 - [0] ----D- C:\Program Files\FREEzeFrog
O43 - CFD: 26/07/2009 - 14:36:40 - [2106880] ----D- C:\Program Files\Search Settings
O43 - CFD: 31/05/2011 - 17:02:30 - [2345560] ----D- C:\Program Files\Widestream6
O43 - CFD: 23/07/2011 - 13:36:58 - [0] ----D- C:\Documents and Settings\utilisateur\Application Data\FREEzeFrog
O43 - CFD: 13/08/2010 - 11:02:46 - [466] ----D- C:\Documents and Settings\utilisateur\Application Data\OfferBox
O43 - CFD: 09/09/2009 - 14:50:46 - [0] ----D- C:\Documents and Settings\utilisateur\Application Data\Search Settings
O43 - CFD: 01/08/2010 - 17:35:30 - [614] ----D- C:\Documents and Settings\utilisateur\Application Data\widestream
O43 - CFD: 17/10/2011 - 10:42:32 - [488183] ----D- C:\Documents and Settings\utilisateur\Local Settings\Application Data\widestream6 Air
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - http://search.babylon.com
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive]
[HKLM\Software\Classes\SearchSettings.BHO]
[HKLM\Software\Classes\searchsettings.bho.1]
[HKLM\Software\Classes\Toolbar.CT1460988]
[HKLM\Software\WideStream]
[HKLM\Software\Mozilla\Firefox\Extensions]:widestream6@spointer.com
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SearchSettings
C:\Program Files\Babylon
C:\Program Files\FREEzeFrog
C:\Program Files\Search Settings
C:\Program Files\Widestream6
C:\Documents and Settings\utilisateur\Application Data\FREEzeFrog
C:\Documents and Settings\utilisateur\Application Data\OfferBox
C:\Documents and Settings\utilisateur\Application Data\Search Settings
C:\Documents and Settings\utilisateur\Application Data\Widestream
C:\Documents and Settings\utilisateur\Local Settings\Application Data\widestream6 Air
C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\dozax9m0.default\extensions\@FissaPlugin
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp



___________________________________________________________________


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport


2) passes ad-remover mode NETTOYER

Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript)

http://security-domain.be/download/telech.php?id=3



/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )


3) passes adw-cleaner mode SUPPESSION

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


4) postes un nouveau zhpdiag pour contrôle , merci

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : https://www.cjoint.com/
0
kristana
20 oct. 2011 à 11:01
Merci pour toutes ces démarches à faire, je croyais que j'étais sortie d'affaire!
Je m'y colle ce weekend car là j'ai besoin de prendre ma respiration!
et d'un peu de temps
merci encore
0