Attention à nationzoom

Résolu/Fermé
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 - 2 déc. 2013 à 23:20
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 10 déc. 2013 à 10:46
Bonsoir
Je suis pourtant d'un naturel méfiant, mais là, je me suis fait enc..pardon avoir en beauté.

Une fenêtre m'annonce que Java a besoin d'une maj critique.
Tout le monde connait leurs problèmes aussi je télécharge un petit fichier java.exe.

A postériori, j'ai retrouvé qu'il venait du site suivant
http://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww ou bien de
https://www.hugedomains.com/domain_profile.cfm?d=realken&e=com

Si vous apercevez ces liens: FUYEZ FUYEZ FUYEZ.....

En effet, cette saloperie m'a bloqué ma page d'accueil de Firefox sur le moteur de recherche NATIONZOOM, m'a changé l'option de démarrage sur "afficher les derniers onglets et fenêtres utilisés" ce qui fait que je me retrouvais en permanence avec la proposition de télécharger le fichier maudit.

Il semble que l'apparition de ce procédé malhonnête avec maj Java pour prétexte daterait de quelques jours seulement. (résultat d'une recherche sur NationZoom)

J'avoue avoir été étonné de voir que Java me proposait de télécharger des logiciels "partenaires" mais comme cela devient à la mode, j'ai soigneusement répondu "decline" à chaque proposition sans m'inquiéter davantage.

Hélas, cela n'a servi à rien car en plus, il m'a chargé Uniblue"Speedup my PC" et "PC back-up" et un Wysig qqchose qui semble être le contenant honteux de NationZoom.

Ces 3 logiciels sont reconnus par tous les chasseurs d'adware comme des pests patentés et leur suppression recommandée

Pas de souci particulier avec les 3 programmes (revo uninstaller), mais pour NationZoom, ca a été la grosse galère.

Les traces sont très visibles dans ZHPDiag et il a fallu passer successivement Malwarebytes, AdwareCleaner et JRT + au final ZHPfix pour en être débarrassé.

On trouve plusieurs tutos très complets sur le forum de CCM et surtout sur
https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/423407-infection-nation-zoom

Bon courage
A voir également:

10 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 2/12/2013 à 23:23
Salut,


Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 9
3 déc. 2013 à 00:27
Je te remercie pour ta réponse qui pourra, je l'espère, servir à d'autres.

En effet, comme je l'ai dit plus haut, j'ai pu m'en débarrasser avec d'autres moyens que j'ai énumérés dans l'ordre où je les ai utilisés.
J'ai surtout été guidé par le lien sur Cnetfrance cité en fin de post

Merci pour la bonne tenue du site Malekal que je consulte souvent par ailleurs.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
3 déc. 2013 à 07:42
ok :)


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


0
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 9
3 déc. 2013 à 10:07
c'était très vicieux car j'ai eu une fenêtre tout à fait en dehors de mon browser web, très semblable a celles que présentent les sites et qui reprennent les dangers de Java.
Sauf que là, ils proposaient un correctif qui s'est chargé directement sur mon bureau: le fameux Java. exe.
C'est seulement après en consultant l'historique que j'ai pris connaissance de l'url associée au téléchargement.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 3/12/2013 à 10:12
mouaip - pis les AV, comme d'hab, sont à la rue.

J'avais signalé le changement de domaine, il y a quelques jours pour l'URL du faux Java sur Twitter : https://twitter.com/malekal_morte/status/406330155892609025
il n'avait pas bougé depuis plusieurs mois.

Il a encore changé, c'est pour cela, que y a pas mal de gens touchés.

~~

Ton lien : https://www.virustotal.com/gui/url/f18e457d4e9eaa03e9b5fbdbd29c9d968477738d3ef5e6807818c82d33f49071

Le fichier : https://www.virustotal.com/gui/file/8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9

je l'ai envoyé aux antivirus.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
3 déc. 2013 à 08:18
J'ai mis à jour la FAQ Do Search, vu que Nation Zoom, c'est la même chose : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 9
3 déc. 2013 à 13:44
Malékal, pour les anti-virus, tu as raison: Kaspersky et Hosts Anti-Adware n'ont rien vu passer
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 3/12/2013 à 17:17
c'est un peu mieux : https://www.virustotal.com/gui/url/596d376e4404339234aebd5b9c009704ab8bde3a3988331df2ef28652169a407

URL: [hxxtp://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww]
Ratio de détection : 4 / 51
Date d'analyse : 2013-12-03 16:12:20 UTC (il y a 0 minute)
Analyse de fichier : Allez à l'analyse du fichier téléchargé

Avira Malware site
BitDefender Malware site
Dr.Web Malicious site
Malekal Malicious site

~~

https://www.virustotal.com/gui/file/d8783f186946e7e0323d405838b092f10f59c9d121cbe15896fab434381c0777

Avast Win32:Dropper-gen [Drp] 20131203
+ Norman etc


donc Antivir + Avast! ça doit limiter la casse en France avec cela.

~~

@al91 : tu as un site où tu as parfois l'alerte Java ?
Ca me permettrait de les suivre.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
3 déc. 2013 à 17:29
hum en fait, ça a déjà bougé: https://www.virustotal.com/gui/url/9298ced979e7e5c9f2c3309e80369bf5beddc72600886be970e144eaa1946f9d

j'avais pas vu ton autre lien ads.xxx

y a un lien intermédaire qui redirige vers le domaine aléatoire : hxtp://ttb.123mplayer.com/download/request/51a9b7865f1c1eb81f000001/CtlLI2Yz?PubID=2358_1874&ClickID=2707091979

Vais essayer de le faire blacklister.

~~

Par contre, le nouveau dropper est tjrs bien détecté : https://www.virustotal.com/gui/file/30eab3532fe3f1cc9096a5f20f1e0772f981fdfc701845dbc2009c90c5dc74cc
c'est déjà ça.
0
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 9
3 déc. 2013 à 19:17
non, j'ai quelquefois le message quand je charge des graphiques sur des sites boursiers mais pour celui là, je ne peux pas faire de rapprochement certain.

Toutefois, la fenêtre est tombée dans les secondes qui ont suivi la fermeture du site "http://www.erightsoft.com/%5EP/Superdt.htm" qui diffuse gratuitement un convertisseur de fichiers multimédia assez performant appelé super C.

L'installation du logiciel (ou sa mise à jour) est un vrai festival de propositions de téléchargement d'une dizaine de logiciels.
Pour les refuser, il faut être très attentif car après avoir cliqué 3 fois sur un bouton "je refuse", à la place de ce bouton lors de la présentation du 4ème il y a un bouton "j'accepte".
Si tu as une bonne sandbox, ca vaut le déplacement .
Voilou
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
4 déc. 2013 à 08:42
tu peux me donner quelques adresses de ces sites de bourses ou graphismes stp.
0
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 9
Modifié par al91 le 4/12/2013 à 13:40
https://www.boursorama.com/cours/1rPAF/
Mais je pense qu'il va te falloir un compte client pour y accéder
a défaut, je peux essayer de te passer une copie d'écran si tu m'expliques comment te faire parvenir le fichier .jpg
0
al91 Messages postés 51 Date d'inscription mercredi 4 mai 2005 Statut Membre Dernière intervention 12 novembre 2016 9
4 déc. 2013 à 18:16
ah tiens, ca me revient aussi, si tu veux accéder aux Webcams de l'autoroute de Normandie, il te faut java et le site te passe le message habituel que ca comporte des risques etc etc

https://www.sanef.com

là tu peux y accéder sans problèmes
0
H.A.W.X Messages postés 1037 Date d'inscription mardi 26 février 2013 Statut Membre Dernière intervention 3 mai 2015 72
4 déc. 2013 à 12:08
Bonjour,

Personnellement le fichier que j'ai eu depuis ce site samedi était à 15/42 sur VT.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 4/12/2013 à 15:47
Ca repack, la détection Avast! a sauté :/

https://www.virustotal.com/gui/file/acc815661f8384c8ff882a9b95d000fc1740890be363af26b1f433da7abd863c


SHA256: acc815661f8384c8ff882a9b95d000fc1740890be363af26b1f433da7abd863c
Nom du fichier : 8f456e320429552cc4c99ae62bfe9200
Ratio de détection : 7 / 49
Date d'analyse : 2013-12-04 14:45:48 UTC (il y a 0 minute)



https://www.virustotal.com/gui/file/2fa44eefad324f42a7ba00387dca1b85d61f7f5b583b44c83975099ec3894298


SHA256: 2fa44eefad324f42a7ba00387dca1b85d61f7f5b583b44c83975099ec3894298
Nom du fichier : 764388e0e5261705e631de2c9f075acc
Ratio de détection : 9 / 48
Date d'analyse : 2013-12-04 14:45:53 UTC (il y a 0 minute)

~~

j'vais spammer les AV, ça va les faire bouger un peu.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 9/12/2013 à 18:53
Ca commence à prendre : https://www.virustotal.com/gui/file/bda87d1b57f2e07e4bdcca9f6566ed806672f08ff096b94e10bf21ec977a7336

SHA256: bda87d1b57f2e07e4bdcca9f6566ed806672f08ff096b94e10bf21ec977a7336
Nom du fichier : def391d12bdac624d2c8ac0320eff09b26353818
Ratio de détection : 14 / 49
Date d'analyse : 2013-12-09 15:13:41 UTC (il y a 2 heures, 36 minutes)

~~

=> http://malwaredb.malekal.com/index.php?malware=Domalq

~~

sinon y a la version Flash Player :

https://twitter.com/malekal_morte/status/410090879823519744


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
J'aime bien ta signature.
Ca vient d'où?
Ca pourrait sortir tout droit de " Like an Angel" ou de "Hallelujah"
Bonne nuit "in the arms of an angel"
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 10/12/2013 à 10:47
De Rise Against : https://www.youtube.com/watch?v=w0bUgbbOp5w

J'ai mis un autosubmit aux AV en espérant que ça va booster un peu les détections : http://malwaredb.malekal.com/index.php?malware=PUP.Optional.

La version Fake Flash est mal détecté, mais ça commence à monter, de 5 on passe à 8.
0