attention à nationzoom Résolu/Fermé

Question

Bonsoir
Je suis pourtant d'un naturel méfiant, mais là, je me suis fait enc..pardon avoir en beauté.

Une fenêtre m'annonce que Java a besoin d'une maj critique.
Tout le monde connait leurs problèmes  aussi je télécharge un petit fichier java.exe.

A postériori, j'ai retrouvé qu'il venait du site suivant
http://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww   ou bien de 
https://www.hugedomains.com/domain_profile.cfm?d=realken&e=com

Si vous apercevez ces liens: FUYEZ FUYEZ FUYEZ.....

En effet, cette saloperie m'a bloqué ma page d'accueil de Firefox sur le moteur de recherche NATIONZOOM, m'a changé l'option de démarrage sur "afficher les derniers onglets et fenêtres utilisés" ce qui fait que je me retrouvais en permanence avec la proposition de télécharger le fichier maudit.

Il semble que l'apparition de ce procédé malhonnête avec maj Java pour prétexte daterait de quelques jours seulement. (résultat d'une recherche sur NationZoom)

J'avoue avoir été étonné de voir que Java me proposait de télécharger des logiciels "partenaires" mais comme cela devient à la mode, j'ai soigneusement répondu "decline" à chaque proposition sans m'inquiéter davantage.

Hélas, cela n'a servi à rien car en plus, il m'a chargé  Uniblue"Speedup my PC" et "PC back-up" et un Wysig qqchose qui semble être le contenant honteux de NationZoom.

Ces 3 logiciels sont reconnus par tous les chasseurs d'adware comme des pests patentés et leur suppression recommandée

Pas de souci particulier avec les 3 programmes (revo uninstaller), mais pour NationZoom, ca a été la grosse galère.

Les traces sont très visibles dans ZHPDiag et il a fallu passer successivement Malwarebytes, AdwareCleaner et JRT + au final ZHPfix pour en être débarrassé.

On trouve plusieurs tutos très complets sur le forum de CCM et surtout sur
https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/423407-infection-nation-zoom

Bon courage

Malekal_morte- · Answer

Salut,


Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau. 
Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner]. 
Le scan peux durer plusieurs minutes, patienter. 
Une fois le scan terminé, clique sur [Nettoyer] 

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

al91 · Answer

Je te remercie pour ta réponse qui pourra, je l'espère, servir à d'autres.

En effet, comme je l'ai dit plus haut, j'ai pu m'en débarrasser avec d'autres moyens que j'ai énumérés dans l'ordre où je les ai utilisés.
J'ai surtout été guidé par le lien sur Cnetfrance cité en fin de post

Merci pour la bonne tenue du site Malekal que je consulte souvent par ailleurs.

Malekal_morte- · Answer

ok :)


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Malekal_morte- · Answer

J'ai mis à jour la FAQ Do Search, vu que Nation Zoom, c'est la même chose : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

al91 · Answer

Malékal, pour les anti-virus, tu as raison: Kaspersky et Hosts Anti-Adware n'ont rien vu passer

Malekal_morte- · Answer

c'est un peu mieux : https://www.virustotal.com/gui/url/596d376e4404339234aebd5b9c009704ab8bde3a3988331df2ef28652169a407

URL:  [hxxtp://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww]
Ratio de détection :  4 / 51
Date d'analyse :  2013-12-03 16:12:20 UTC (il y a 0 minute)
Analyse de fichier :  Allez à l'analyse du fichier téléchargé

Avira Malware site
BitDefender Malware site
Dr.Web Malicious site
Malekal Malicious site

~~

https://www.virustotal.com/gui/file/d8783f186946e7e0323d405838b092f10f59c9d121cbe15896fab434381c0777

Avast  Win32:Dropper-gen [Drp]  20131203
+ Norman etc


donc Antivir + Avast! ça doit limiter la casse en France avec cela.

~~

@al91 : tu as un site où tu as parfois l'alerte Java ?
Ca me permettrait de les suivre.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

al91 · Answer

non, j'ai quelquefois le message quand je charge des graphiques sur des sites boursiers mais pour celui là, je ne peux pas faire de rapprochement certain.

Toutefois, la fenêtre est tombée dans les secondes qui ont suivi la fermeture du site "http://www.erightsoft.com/%5EP/Superdt.htm" qui diffuse gratuitement un convertisseur de fichiers multimédia assez performant appelé super C.

L'installation du logiciel (ou sa mise à jour) est un vrai festival de propositions de téléchargement d'une dizaine de logiciels.
Pour les refuser, il faut être très attentif car après avoir cliqué 3 fois sur un bouton "je refuse", à la place de ce bouton lors de la présentation du 4ème il y a un bouton "j'accepte".
Si tu as une bonne sandbox, ca vaut le déplacement .
Voilou

H.A.W.X · Answer

Bonjour,

Personnellement le fichier que j'ai eu depuis ce site samedi était à 15/42 sur VT.

Malekal_morte- · Answer

Ca repack, la détection Avast! a sauté :/

https://www.virustotal.com/gui/file/acc815661f8384c8ff882a9b95d000fc1740890be363af26b1f433da7abd863c


SHA256: acc815661f8384c8ff882a9b95d000fc1740890be363af26b1f433da7abd863c
Nom du fichier : 8f456e320429552cc4c99ae62bfe9200
Ratio de détection :  7 / 49
Date d'analyse :  2013-12-04 14:45:48 UTC (il y a 0 minute)



https://www.virustotal.com/gui/file/2fa44eefad324f42a7ba00387dca1b85d61f7f5b583b44c83975099ec3894298 


SHA256: 2fa44eefad324f42a7ba00387dca1b85d61f7f5b583b44c83975099ec3894298
Nom du fichier : 764388e0e5261705e631de2c9f075acc
Ratio de détection :  9 / 48
Date d'analyse :  2013-12-04 14:45:53 UTC (il y a 0 minute)

~~

j'vais spammer les AV, ça va les faire bouger un peu.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

Ca commence à prendre : https://www.virustotal.com/gui/file/bda87d1b57f2e07e4bdcca9f6566ed806672f08ff096b94e10bf21ec977a7336

SHA256: bda87d1b57f2e07e4bdcca9f6566ed806672f08ff096b94e10bf21ec977a7336
Nom du fichier : def391d12bdac624d2c8ac0320eff09b26353818
Ratio de détection :  14 / 49
Date d'analyse :  2013-12-09 15:13:41 UTC (il y a 2 heures, 36 minutes)
 
 ~~

=> http://malwaredb.malekal.com/index.php?malware=Domalq

~~

sinon y a la version Flash Player :

https://twitter.com/malekal_morte/status/410090879823519744


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Attention à nationzoom

10 réponses

Discussions similaires