Comment supprimer Trojan FakeAlert / Renos / sshnas / msb.exe?

Décembre 2016




Qu'est ce que l'infection Trojan FakeAlert / Renos / msb.exe ?

Cette infection est récupérée à la suite de l'installation de codecs infectés en général et peut se transmettre via les supports externes (clé USB, disque dur externe, carte SD etc..)


Exemple de lignes infectieuses retrouvées dans hijackthis :


O4 - HKUS\S-1-5-18\..\Run: [vegas] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [vegas] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork (User 'Default user')
O4 - Startup: 8162231.lnk = C:\Users\Romain\AppData\Local\Temp\dwn.exe
O4 - Startup: 9635938.lnk = C:\Users\Romain\AppData\Local\Temp\mvNat.exe

Cette infection peut créer des taches planifiées responsables de la ré-infection :

C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\Windows\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

Il est donc conseillé de supprimer les tâches planifiées que vous n'avez pas installées.

Exemples de fichiers infectés et clés du registre :

HKEY_CURRENT_USER\SOFTWARE\ZagrebLand (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Videocan (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\HID_Layer
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zagrebland (Trojan.FakeAlert)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vegas (Trojan.FakeAlert)
C:\Windows\Temp\b.exe (Trojan.Dropper)
C:\Windows\Temp\d.exe (Trojan.Dropper)
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert)
C:\Windows\Temp\sshnas.dll (Trojan.FakeAlert)

Préliminaires

  • Important : Si vous avez Vista ou 7,
  • Attention : Si vous avez TeaTimer (le résident de Spybot), désactivez-le car il risque de gêner la désinfection:
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
    • A gauche, cliquez sur Outils, puis sur Résident.
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :



Méthodes de désinfection

Plusieurs solutions sont envisageables :

MalwareBytes' Anti-Malware



  • Installez le logiciel.
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
  • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Démarrez en mode sans échec.
  • Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs et unités externes.
  • Une fois le scan terminé, cliquez sur Résultat puis supprimer ce qui a été détecté (Si un message demande à redémarrer le PC, acceptez !)

Super antispyware

  • Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
    • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
    • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.


FakeAlertRemover

Ce logiciel permet l'érradication de l'infection Renos FakeAlert

Rq: L'installation de framework 3.5 est requise

Après nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.


Bitdefender en ligne

Kaspersky en ligne

Informations supplémentaires

http://forum.malekal.com/...

A voir également :

Ce document intitulé «  Comment supprimer Trojan FakeAlert / Renos / sshnas / msb.exe?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.