Attention à nationzoom

Résolu
al91 Messages postés 54 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonsoir
Je suis pourtant d'un naturel méfiant, mais là, je me suis fait enc..pardon avoir en beauté.

Une fenêtre m'annonce que Java a besoin d'une maj critique.
Tout le monde connait leurs problèmes aussi je télécharge un petit fichier java.exe.

A postériori, j'ai retrouvé qu'il venait du site suivant
http://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww ou bien de
https://www.hugedomains.com/domain_profile.cfm?d=realken&e=com

Si vous apercevez ces liens: FUYEZ FUYEZ FUYEZ.....

En effet, cette saloperie m'a bloqué ma page d'accueil de Firefox sur le moteur de recherche NATIONZOOM, m'a changé l'option de démarrage sur "afficher les derniers onglets et fenêtres utilisés" ce qui fait que je me retrouvais en permanence avec la proposition de télécharger le fichier maudit.

Il semble que l'apparition de ce procédé malhonnête avec maj Java pour prétexte daterait de quelques jours seulement. (résultat d'une recherche sur NationZoom)

J'avoue avoir été étonné de voir que Java me proposait de télécharger des logiciels "partenaires" mais comme cela devient à la mode, j'ai soigneusement répondu "decline" à chaque proposition sans m'inquiéter davantage.

Hélas, cela n'a servi à rien car en plus, il m'a chargé Uniblue"Speedup my PC" et "PC back-up" et un Wysig qqchose qui semble être le contenant honteux de NationZoom.

Ces 3 logiciels sont reconnus par tous les chasseurs d'adware comme des pests patentés et leur suppression recommandée

Pas de souci particulier avec les 3 programmes (revo uninstaller), mais pour NationZoom, ca a été la grosse galère.

Les traces sont très visibles dans ZHPDiag et il a fallu passer successivement Malwarebytes, AdwareCleaner et JRT + au final ZHPfix pour en être débarrassé.

On trouve plusieurs tutos très complets sur le forum de CCM et surtout sur
https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/423407-infection-nation-zoom

Bon courage

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Vas sur le lien, télécharge AdwCleaner comme indiqué.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. al91 Messages postés 54 Statut Membre 10
     
    Je te remercie pour ta réponse qui pourra, je l'espère, servir à d'autres.

    En effet, comme je l'ai dit plus haut, j'ai pu m'en débarrasser avec d'autres moyens que j'ai énumérés dans l'ordre où je les ai utilisés.
    J'ai surtout été guidé par le lien sur Cnetfrance cité en fin de post

    Merci pour la bonne tenue du site Malekal que je consulte souvent par ailleurs.
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok :)

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

    0
    1. al91 Messages postés 54 Statut Membre 10
       
      c'était très vicieux car j'ai eu une fenêtre tout à fait en dehors de mon browser web, très semblable a celles que présentent les sites et qui reprennent les dangers de Java.
      Sauf que là, ils proposaient un correctif qui s'est chargé directement sur mon bureau: le fameux Java. exe.
      C'est seulement après en consultant l'historique que j'ai pris connaissance de l'url associée au téléchargement.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      mouaip - pis les AV, comme d'hab, sont à la rue.

      J'avais signalé le changement de domaine, il y a quelques jours pour l'URL du faux Java sur Twitter : https://twitter.com/malekal_morte/status/406330155892609025
      il n'avait pas bougé depuis plusieurs mois.

      Il a encore changé, c'est pour cela, que y a pas mal de gens touchés.

      ~~

      Ton lien : https://www.virustotal.com/gui/url/f18e457d4e9eaa03e9b5fbdbd29c9d968477738d3ef5e6807818c82d33f49071

      Le fichier : https://www.virustotal.com/gui/file/8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9

      je l'ai envoyé aux antivirus.
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    J'ai mis à jour la FAQ Do Search, vu que Nation Zoom, c'est la même chose : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. al91 Messages postés 54 Statut Membre 10
     
    Malékal, pour les anti-virus, tu as raison: Kaspersky et Hosts Anti-Adware n'ont rien vu passer
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    c'est un peu mieux : https://www.virustotal.com/gui/url/596d376e4404339234aebd5b9c009704ab8bde3a3988331df2ef28652169a407

    URL: [hxxtp://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww]
    Ratio de détection : 4 / 51
    Date d'analyse : 2013-12-03 16:12:20 UTC (il y a 0 minute)
    Analyse de fichier : Allez à l'analyse du fichier téléchargé

    Avira Malware site
    BitDefender Malware site
    Dr.Web Malicious site
    Malekal Malicious site

    ~~

    https://www.virustotal.com/gui/file/d8783f186946e7e0323d405838b092f10f59c9d121cbe15896fab434381c0777

    Avast Win32:Dropper-gen [Drp] 20131203
    + Norman etc

    donc Antivir + Avast! ça doit limiter la casse en France avec cela.

    ~~

    @al91 : tu as un site où tu as parfois l'alerte Java ?
    Ca me permettrait de les suivre.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      hum en fait, ça a déjà bougé: https://www.virustotal.com/gui/url/9298ced979e7e5c9f2c3309e80369bf5beddc72600886be970e144eaa1946f9d

      j'avais pas vu ton autre lien ads.xxx

      y a un lien intermédaire qui redirige vers le domaine aléatoire : hxtp://ttb.123mplayer.com/download/request/51a9b7865f1c1eb81f000001/CtlLI2Yz?PubID=2358_1874&ClickID=2707091979

      Vais essayer de le faire blacklister.

      ~~

      Par contre, le nouveau dropper est tjrs bien détecté : https://www.virustotal.com/gui/file/30eab3532fe3f1cc9096a5f20f1e0772f981fdfc701845dbc2009c90c5dc74cc
      c'est déjà ça.
      0
  8. al91 Messages postés 54 Statut Membre 10
     
    non, j'ai quelquefois le message quand je charge des graphiques sur des sites boursiers mais pour celui là, je ne peux pas faire de rapprochement certain.

    Toutefois, la fenêtre est tombée dans les secondes qui ont suivi la fermeture du site "http://www.erightsoft.com/%5EP/Superdt.htm" qui diffuse gratuitement un convertisseur de fichiers multimédia assez performant appelé super C.

    L'installation du logiciel (ou sa mise à jour) est un vrai festival de propositions de téléchargement d'une dizaine de logiciels.
    Pour les refuser, il faut être très attentif car après avoir cliqué 3 fois sur un bouton "je refuse", à la place de ce bouton lors de la présentation du 4ème il y a un bouton "j'accepte".
    Si tu as une bonne sandbox, ca vaut le déplacement .
    Voilou
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tu peux me donner quelques adresses de ces sites de bourses ou graphismes stp.
      0
    2. al91 Messages postés 54 Statut Membre 10
       
      https://www.boursorama.com/cours/1rPAF/
      Mais je pense qu'il va te falloir un compte client pour y accéder
      a défaut, je peux essayer de te passer une copie d'écran si tu m'expliques comment te faire parvenir le fichier .jpg
      0
    3. al91 Messages postés 54 Statut Membre 10
       
      ah tiens, ca me revient aussi, si tu veux accéder aux Webcams de l'autoroute de Normandie, il te faut java et le site te passe le message habituel que ca comporte des risques etc etc

      https://www.sanef.com

      là tu peux y accéder sans problèmes
      0
  9. H.A.W.X Messages postés 1275 Statut Membre 72
     
    Bonjour,

    Personnellement le fichier que j'ai eu depuis ce site samedi était à 15/42 sur VT.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca repack, la détection Avast! a sauté :/

    https://www.virustotal.com/gui/file/acc815661f8384c8ff882a9b95d000fc1740890be363af26b1f433da7abd863c

    SHA256: acc815661f8384c8ff882a9b95d000fc1740890be363af26b1f433da7abd863c
    Nom du fichier : 8f456e320429552cc4c99ae62bfe9200
    Ratio de détection : 7 / 49
    Date d'analyse : 2013-12-04 14:45:48 UTC (il y a 0 minute)

    https://www.virustotal.com/gui/file/2fa44eefad324f42a7ba00387dca1b85d61f7f5b583b44c83975099ec3894298

    SHA256: 2fa44eefad324f42a7ba00387dca1b85d61f7f5b583b44c83975099ec3894298
    Nom du fichier : 764388e0e5261705e631de2c9f075acc
    Ratio de détection : 9 / 48
    Date d'analyse : 2013-12-04 14:45:53 UTC (il y a 0 minute)

    ~~

    j'vais spammer les AV, ça va les faire bouger un peu.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca commence à prendre : https://www.virustotal.com/gui/file/bda87d1b57f2e07e4bdcca9f6566ed806672f08ff096b94e10bf21ec977a7336

    SHA256: bda87d1b57f2e07e4bdcca9f6566ed806672f08ff096b94e10bf21ec977a7336
    Nom du fichier : def391d12bdac624d2c8ac0320eff09b26353818
    Ratio de détection : 14 / 49
    Date d'analyse : 2013-12-09 15:13:41 UTC (il y a 2 heures, 36 minutes)

    ~~

    => http://malwaredb.malekal.com/index.php?malware=Domalq

    ~~

    sinon y a la version Flash Player :

    https://twitter.com/malekal_morte/status/410090879823519744

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. al91
       
      J'aime bien ta signature.
      Ca vient d'où?
      Ca pourrait sortir tout droit de " Like an Angel" ou de "Hallelujah"
      Bonne nuit "in the arms of an angel"
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      De Rise Against : https://www.youtube.com/watch?v=w0bUgbbOp5w

      J'ai mis un autosubmit aux AV en espérant que ça va booster un peu les détections : http://malwaredb.malekal.com/index.php?malware=PUP.Optional.

      La version Fake Flash est mal détecté, mais ça commence à monter, de 5 on passe à 8.
      0