FREEzeFrog -

Julakai -  
 Julakai -
Bonjour,

je viens de remarquer que j'ai attrapé, moi aussi, le virus FREEzeFrog.
Après lecture des différents forums et pensant pouvoir me débrouiller seule, j'ai téléchargé ZHPDiag, puis Malewarebytes' Antimalware. J'ai fait un premier scan mais je ne comprends rien à la démarche à suivre qui, j'ai l'impression, est personnalisée pour chacun.
Qui pourrait m'aider à me débarrasser de ce virus ???
Merci d'avance.

Julakai

12 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    exécute MBAM (après l'avoir mis à jour), sélectionne et mets en quarantaine tout ce qu'il trouve.

    Poste le rapport.

    Exécute ZHPDiag et poste le rapport dans un lien pjjoint (clique sur la flèche bleue)
    0
  2. Julakai
     
    Bonjour, MERCI pour la rapidité !
    J'espère avoir fait correctement...

    Voici le rapport ZHPDiag :

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120126_r14i7o13w5n8

    Voilà le rapport MBAM :

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.26.06

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Julie :: PC-DE-JULIE [administrateur]

    26/01/2012 18:22:35
    mbam-log-2012-01-26 (18-22-35).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 313102
    Temps écoulé: 1 heure(s), 23 minute(s), 42 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 9
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\FREEzeFrogAx.Info (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    HKCR\FREEzeFrogAx.Info.1 (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\FREEZEFROGSA (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FREEzeFrogSA (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKCU\Software\freezefrogsa|actionurl_current_version (Adware.FreezeFrog) -> Données: 799 -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 3
    C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\FREEzeFrogSA (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FREEzeFrog\bin\1.0.670.0 (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 7
    C:\Program Files\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSAHook.dll (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\FREEzeFrog\bin\1.0.670.0\LaunchHelp.dll (Adware.Seekmo) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\FREEzeFrogSA\FREEzeFrogSA.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\FREEzeFrogSA\FREEzeFrogSAAbout.mht (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\FREEzeFrogSA\FreezeFrogSAau.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\FREEzeFrogSA\FREEzeFrogSAEULA.mht (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\FREEzeFrogSA\FreezeFrogSA_kyf.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    [HKLM\Software\FREEzeFrog]
    O43 - CFD: 21/07/2011 - 22:23:30 - [0] ----D- C:\Program Files\FREEzeFrog
    O43 - CFD: 21/07/2011 - 22:23:30 - [0] ----D- C:\Users\Julie\AppData\Roaming\FREEzeFrog
    [HKCU\Software\AppDataLow\Software\Conduit]
    O43 - CFD: 12/05/2011 - 08:38:46 - [0,002] ----D- C:\Program Files\Ask.coml
    O43 - CFD: 02/09/2010 - 16:06:26 - [0,513] ----D- C:\Program Files\Conduit
    O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
    C:\Program Files\Conduit
    C:\Users\Julie\AppData\LocalLow\Conduit
    R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O43 - CFD: 20/07/2011 - 15:31:30 - [0] ----D- C:\Users\Julie\AppData\Local\{3967607E-6089-44C4-BA9F-A4C33CE20FD3}
    O43 - CFD: 20/07/2011 - 20:56:58 - [0] ----D- C:\Users\Julie\AppData\Local\{8D01533B-FCBF-4E37-B043-E8EC875C098D}
    O43 - CFD: 20/07/2011 - 15:31:30 - [0] ----D- C:\Users\Julie\AppData\Local\{9CC26FC7-AAB7-414A-9621-03CDB059CE45}
    O43 - CFD: 21/07/2011 - 21:45:44 - [0] ----D- C:\Users\Julie\AppData\Local\{9D86DD56-FEA9-48A9-B451-6879720614DE}
    O51 - MPSK:{608c303e-7794-11dd-a383-001f3c7accfe}\AutoRun\command - Clé orpheline
    O51 - MPSK:{b81c20e2-31e9-11df-9666-97d4daf2e2c7}\AutoRun\command - Clé orpheline
    O87 - FAEL: "{397EEB18-6AF2-4083-95DF-C1BCACBB662D}" |In - Public - P6 - TRUE | .(...) -- F:\fscommand\CKSocketServer.exe (.not file.)
    O87 - FAEL: "{2A73C34E-1AC2-45F8-A5CE-30448C85EA68}" |In - Public - P17 - TRUE | .(...) -- F:\fscommand\CKSocketServer.exe (.not file.)


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.
    0
  4. Julakai Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà le rapport !

    Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-01-2012-13-41-32.txt
    Run by Julie at 29/01/2012 13:41:32
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\FREEzeFrog
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
    SUPPRIME Key: SearchScopes :{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    SUPPRIME CLSID MPSK: {608c303e-7794-11dd-a383-001f3c7accfe}
    SUPPRIME CLSID MPSK: {b81c20e2-31e9-11df-9666-97d4daf2e2c7}

    ========== Valeur(s) du Registre ==========
    SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
    SUPPRIME {397EEB18-6AF2-4083-95DF-C1BCACBB662D}
    SUPPRIME {2A73C34E-1AC2-45F8-A5CE-30448C85EA68}

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Program Files\FREEzeFrog
    SUPPRIME Folder: C:\Users\Julie\AppData\Roaming\FREEzeFrog
    ABSENT C:\Program Files\Ask.coml
    SUPPRIME Folder: C:\Program Files\Conduit
    SUPPRIME Folder: c:\users\julie\appdata\locallow\conduit
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{3967607E-6089-44C4-BA9F-A4C33CE20FD3}
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{8D01533B-FCBF-4E37-B043-E8EC875C098D}
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{9CC26FC7-AAB7-414A-9621-03CDB059CE45}
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{9D86DD56-FEA9-48A9-B451-6879720614DE}

    ========== Fichier(s) ==========
    ABSENT Folder/File: c:\program files\conduit

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    9 : Dossier(s)
    1 : Fichier(s)

    End of clean in 00mn 01s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 29/01/2012 13:41:32 [2099]

    Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-01-2012-13-41-32.txt
    Run by Julie at 29/01/2012 13:41:32
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\FREEzeFrog
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
    SUPPRIME Key: SearchScopes :{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    SUPPRIME CLSID MPSK: {608c303e-7794-11dd-a383-001f3c7accfe}
    SUPPRIME CLSID MPSK: {b81c20e2-31e9-11df-9666-97d4daf2e2c7}

    ========== Valeur(s) du Registre ==========
    SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}
    SUPPRIME {397EEB18-6AF2-4083-95DF-C1BCACBB662D}
    SUPPRIME {2A73C34E-1AC2-45F8-A5CE-30448C85EA68}

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Program Files\FREEzeFrog
    SUPPRIME Folder: C:\Users\Julie\AppData\Roaming\FREEzeFrog
    ABSENT C:\Program Files\Ask.coml
    SUPPRIME Folder: C:\Program Files\Conduit
    SUPPRIME Folder: c:\users\julie\appdata\locallow\conduit
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{3967607E-6089-44C4-BA9F-A4C33CE20FD3}
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{8D01533B-FCBF-4E37-B043-E8EC875C098D}
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{9CC26FC7-AAB7-414A-9621-03CDB059CE45}
    SUPPRIME Folder: C:\Users\Julie\AppData\Local\{9D86DD56-FEA9-48A9-B451-6879720614DE}

    ========== Fichier(s) ==========
    ABSENT Folder/File: c:\program files\conduit

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    9 : Dossier(s)
    1 : Fichier(s)

    End of clean in 00mn 01s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 29/01/2012 13:41:32 [2099]
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    fais redémarrer l'ordi.

    Encore des soucis ?

    ===

    Relance ZHPDiag et poste le rapport dans un lien pjjoint.
    0
  7. Julakai Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    Salut,
    Aucun souci, freezefrog a disparu, merci beaucoup !!!
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    remets un rapport ZHPDiag que l'on voit ce qui est nécessaire de faire pour supprimer les outils et sécuriser au mieux l'ordi.
    0
  9. Julakai
     
    C'est-à-dire ?
    Il faut que je refasse un scan sur ZHPDiag et poster le rapport ?
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    oui, exactement.
    0
  11. Julakai
     
    Voici le nouveau rapport :

    http://pjjoint.malekal.com/files.php?read=20120131_c12p7n7q9f13

    Qu'est-ce que ça donne ?
    Merci.
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ZHPDiag (avec la loupe), pas ZHPScan.
    0
  13. Julakai
     
    Désolée !

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120131_p7t12c6k9n9
    0